GET + Passwörter..verschlüsseln oder doch nicht nötig ?

**aimbot** · 01.09.2005, 11:54

passwörter über die url zu senden ist mE zu unsicher.
mach das lieber per POST

**Master0Blicker** · 01.09.2005, 12:00

Ok, das ist ein Schritt um es sicherer zu machen damit es zumindest nicht sichtbar ist.

Dennoch besteht die Möglichkeit des mitloggens im Netzwerk und, da es sich um normale Strings handelt ist das Passwort sichtbar.

So, ist dies nun zu vernachlässigen oder tut ihr es dennoch verschlüsseln ?

Nach wie vor stellt sich mir die Frage zu welchem Zeitpunkt das möglich ist und welche Methode ihr bevorzugt ?

In z.B. VB kann ich zu beliebigem Zeitpunkt machen was ich will bevor ich es abschicke, wie sieht das in PHP aus ?
(Ohne clientseitigem Script oder der Gleichen..)

**eintrachtemil** · 01.09.2005, 12:04

Re: GET + Passwörter..verschlüsseln oder doch nicht nötig ?

Wenn der Benutzer sein Passwort eingibt in das Formular und es dann abschickt, wo habe ich VOR dem Abschicken die Gelegenheit an dem PWD-String was zu ändern sprich zu verschlüsseln ?

SSL

**goth** · 01.09.2005, 12:04

Zur Verschlüsselung verwendet man im Normalfall eine "Verschlüsselte Verbindung" ... SSL nennt man sowas ... alles andere wäre wohl etwas zu einfach nachzuvollziehen ... !

**Master0Blicker** · 01.09.2005, 12:10

Aso....

Heisst also wenn ich kein SSL habe dann am besten das Passwort per POST übertragen und das war alles was Möglich ist ?

Alles klar, das wollt ich nur wissen!

**pippo** · 01.09.2005, 12:26

Hi,

vielleicht kannst du die Passwörter mit md5() zusätzlich verschlüsseln,
und bei der abfrage dann: if($pass_user==md5($_POST['posted_password']))
...

**Master0Blicker** · 01.09.2005, 12:30

@pippo

Ja, aber wann soll ich das verschlüsseln ?

Ich habe ein Formular und in dieses Formular tippt der Benutzer sein Passwort ein.
Danach tut er es abschicken.....

Da gibts keine Möglichkeit irgendwann dazwischen zu verschlüsseln.
Es gibt keinen Änderungszeitraum (Verschlüsselungszeitpunkt) zwischen dem eintippen und dem submitten......
Ist ja klar, passiert ja auch alles beim Client und PHP ist eben Serverseitig....und was anderes will ich nicht da meine Seite komplett Funktionsfähig bleiben soll wenn beim Benutzer Cookies, Scripting usw. deaktiviert sein sollte....

**pippo** · 01.09.2005, 12:40

nach den submit befindet sich dann das Password in der globalen Array "$_POST" --> und dann verschlüsselst du die: md5($_POST['posted_password']), also alles serverseitig.
Oder verstehe ich dich falsch.

**Quetschi** · 01.09.2005, 12:48

@pippo
Würd auch nix bringen, wenn sich jemand den md5-hash ersnifft reicht ihm ja das auch wieder.

Einzige Möglichkeit wär ein Hash mit einer timestamp + passwort kombination zu erzeugen (hab aber keine Ahnung ob das mit Javascript geht, gibts da Möglichkeiten zu hashen?) und in PHP innerhalb eines gewissen Zeitraums zu überprüfen (wenn ichs kurz durchdenke ist das wahrscheinlich etwas umständlich) ob das Hash gültig sein kann, so kann man zwar das Hash ersniffen, kann aber zum Beispiel nur für eine Minute gültig gemacht werden. Es ist dann kaum möglich selbst zu einer beliebigen Zeit ein gültigen Hash zu erzeugen ohne das Passwort im Klartext zu kennen.

Gruss
Quetschi

**Quetschi** · 01.09.2005, 12:57

Original geschrieben von pippo
nach den submit befindet sich dann das Password in der globalen Array "$_POST" --> und dann verschlüsselst du die: md5($_POST['posted_password']), also alles serverseitig.
Oder verstehe ich dich falsch.

Das ist IMHO völliger Unsinn - das Passwort wird ja hier trotzdem im Klartext zum Server übertragen - was nützt es auf den Server dann noch das Passwort zu hashen?

**kuempivonstein** · 01.09.2005, 13:15

passwort verschlüsseln

Original geschrieben von Master0Blicker
Aso....

Heisst also wenn ich kein SSL habe dann am besten das Passwort per POST übertragen und das war alles was Möglich ist ?

Alles klar, das wollt ich nur wissen!

japp, so ist es und so soll es sein.
nimm ssl wenn Du denkst da hängt einer an der leitung,
bloss ich frage mich wer das sein soll????
wenn der spion nen proggi ist was aufn client läuft ist eh versch...en.

kuempi

**pippo** · 01.09.2005, 13:51

man kann wohl mit JavaScript hashen, da gibt einen fertiges modul md5.js
die man einbetten kann:

<script src="md5.js" type="text/javascript"></script>
...
<form action="login.php" method="post">

Somit werden die Daten nach den Submit, verschlüsselt und erst dann zum Server übertragen,
danach folgt die Prüfung in der PHP file z.B. login.php:

<?
if (md5("pippo") === $_POST['hash']) {
echo "ok!";
}
?>

**Quetschi** · 01.09.2005, 14:07

Wie gesagt, allein das Passwort zu hashen würd nicht reichen, außerdem funktioniert das nicht wenn Javascript abgestellt ist. Ist also alles mehr oder weniger unzuverlässig.

Das einzig wirklich vernünftige bleibt die SSL-Verbindung.

**pippo** · 01.09.2005, 14:40

Original geschrieben von Quetschi
Das einzig wirklich vernünftige bleibt die SSL-Verbindung.

Allerdings, und vorallem wenn man fast 900 EUR/Jahr für eine 128 Bit-Verschlüsselung zur Verfügung hat

GET + Passwörter..verschlüsseln oder doch nicht nötig ?