Sichere Übertragung von Parametern an Web-Service

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Sichere Übertragung von Parametern an Web-Service

    Hallo Forum,

    ich verwende SOAPClient um in PHP einen Web-Service nutzen zu können:

    Code:
    $SOAPClient = createSOAPObject($wsdl);
$SOAPClient->getSomething(array("username" => $user_real, "password" => $password));
    Übertragung läuft über https. Es sollte also sichergestellt sein, dass es kein Problem ist das Passwort im Klartext zu übertragen. Ich benötige es im Web-Service zur weiteren Anmeldung.

    Nun möchte ich das ganze aber noch Client-Seitig zumindest so verschlüsseln, dass das Passwort beim Debugging oder bei einer SOAP-Exception nicht direkt im Klartext dasteht. Eine SOAP-Exception printet nämlich schön die ganzen Parameter des Web-Services im Browser aus.

    Wäre es sinnvoll das einfach über eine symetrische Verschlüsslung zu lösen und ein User-Token zu generieren, dass dem Web-Service als Parameter einfach mit übergeben wird?

    Code:
    $SOAPClient->getSomething(array("username" => $user_real, "password" => $password, "token" => $not_really_secret, ));
    Wie gesagt...der Benutzer kann natürlich dann auch bei der Exception das Token hernehmen und daraus die Parameter rekonstruieren.
    Mir geht es aber nicht um die sichere Übertragung ansich (die ist gewährleistet), sondern um das Clientseitige "verstecken" des Passwortes.

    Ich hoffe mein Anliegen ist soweit verständlich rübergekommen...! Wie würdet ihr sowas lösen?

    Vielen Dank für jeden Vorschlag.


    Grüße
    Stichworte: -
  • #2
    Niemand eine Idee?? Krass...

    Kommentar

    • #3
      Hallo,

      wenn ich es richtig verstehe, brauchst du nur einen Exception-Handler registrieren (set_exception_handler), der das Passwort (und ggf. andere sensible Informationen) einfach nicht mit anzeigt. So ein Exception-Handler macht sowieso Sinn, weil der normale User damit eh nichts anfangen kann.

      Gruß,

      Amica
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Kommentar

      • #4
        Zitat von sf1985 Beitrag anzeigen
        Eine SOAP-Exception printet nämlich schön die ganzen Parameter des Web-Services im Browser aus.
        Exceptions bzw. Fehlermeldungen allgemein sollten nicht ausgegeben werden. Der Server ist offenbar falsch konfiguriert.

        Kommentar

        • #5
          Gut, alles klar. Vielen Dank für die Hinweise! Ich habe jetzt einfach den catch Block rausgenommen.

          Ist es im Prinzip kein Problem das Password über einen Web-Service so zu übermitteln?

          Kommentar

          Vorherige template Weiter
          Lädt...
          X