Textfeldinhalt verschlüsseln mit SSL

  • Themenstarter Themenstarter joky_joky
  • Beginndatum Beginndatum
Johannes Röttger hat gesagt.:
pe4ce: Nein, das ist sinnfrei. Wenn du die Daten per HTTP an das Script schickst, kann immernoch jedermann mitsniffen. Erst, wenn du die Daten in einer SSL-Umgebung verschickst ist es sicher. Dein Formular muss also mit auf den SSL-faehigen Teil des Servers.
Zum Vergrößern anklicken....
vielen dank für die klare antwort :) mehr wollte ich nicht wissen.
 
Johannes Röttger hat gesagt.:
Mein Gott... Okay, nochmal langsam, fuer dich: Das Script und das Formular sollten beide in einer SSL-Umgebung liegen. Der Rest, sprich, die Scripte und Dateien, die nicht per SSL verschluesselt werden muessen, sollten nicht unbedingt in der SSL-Umgebung liegen. Grund? SSL erzeugt eine relativ hohe CPU-Last. Ausserdem, was sollte diese Aktion? Was ist der Vorteil einer ,,verschluesselten" index.html? Ausserdem lohnt sich SSL normalerweise eh nur mit einem signierten Zertifikat, ansonsten sind man-in-the-middle moeglich, was dem sniffen des Netzwerkverkehrs gleich kommt.
Also? Hast du mich verstanden, oder soll ich dir ein Bild malen?

Achja, ich frag mich aber auch etwas; Hast du keine Shift-Taste?
Zum Vergrößern anklicken....

Oh ja ich hab ne Shifttaste. Aber ansonsten wieso bitte machst du mich gleich blöd an? Nur weil du nicht verstehst was ich meine? Nebenbei du kannst verschiedenen Ordnern die SSL Fähigkeit(nur fähigkeit!) geben oder nicht und darauf bezog sich meine Frage! Aber lassen wir das wenn dus nich verstehen willst und gleich rummeckern musst. :rolleyes:
 
davon:
Johannes Röttger hat gesagt.:
pe4ce: Nein, das ist sinnfrei. Wenn du die Daten per HTTP an das Script schickst, kann immernoch jedermann mitsniffen. Erst, wenn du die Daten in einer SSL-Umgebung verschickst ist es sicher. Dein Formular muss also mit auf den SSL-faehigen Teil des Servers.
Zum Vergrößern anklicken....
guck halt mal... z.b. "Der Parameter action="https://www.dghyp.de/..." zeigt die Internetadresse, an die die Formulardaten geschickt werden. Das https zeigt, dass es sich um eine verschlüsselte Übertragung handelt. "
 
Aber nur, wenn die aktuelle Seite auch verschluesselt ist... Sonst werden die Daten ganz einfach per Post- oder Get-Parameter an die SSL-Seite uebertragen, welche dann verschluesselt zurueck kommt. Lad dir einfach Ethereal oder Ettercap und sniff deine Verbindung mit.
 
Vorgehensweise bei Client und Server:

Der Client sendet eine Verbindungsanfrage an den Server.
Der Server antwortet mit derselben Nachricht und sendet eventuell ein Zertifikat.
Der Client versucht, das Zertifikat zu authentifizieren (bei Misserfolg wird die Verbindung abgebrochen). Dieses Zertifikat ist der öffentliche Schlüssel des Servers.
Nach erfolgter Authentifizierung erstellt der Client das pre-master secret, verschlüsselt dieses mit dem öffentlichen Schlüssels des Servers und sendet es an den Server. Ebenfalls erzeugt der Client daraus das master secret.
Der Server entschlüsselt das pre-master secret mit seinem privaten Schlüssel und erstellt das master secret.
Client und Server erstellen aus dem master secret den session key. Das ist ein einmalig benutzter symmetrischer Schlüssel, der während der Verbindung zum Ver- und Entschlüsseln der Daten genutzt wird. SSL unterstützt für die symmetrische Verschlüsselung mit diesem session-key u.a. DES und Triple DES.
Client und Server tauschen mit diesem session key verschlüsselte Nachrichten aus und signalisieren damit ihre Kommunikationsbereitschaft.
Die SSL-Verbindung ist aufgebaut.
Zum Vergrößern anklicken....
die anfrage wird ja nicht direkt vom server sondern vom client(browser) aus an das skript gesendet. da es über https geht wird erst nach authentifizierung zwischen client(browser) und server der inhalt des formulars (verschlüsselt) übertragen. oder siehst du das anders?
 
Hmmm, gute Frage. Evt. irre ich mich auch, Wenn du ganz sicher sein willst, solltest du es selber nachpruefen. *gruebel* Ich teste das auch mal...
 
Johannes Röttger hat gesagt.:
Hmmm, gute Frage. Evt. irre ich mich auch, Wenn du ganz sicher sein willst, solltest du es selber nachpruefen. *gruebel* Ich teste das auch mal...
Zum Vergrößern anklicken....
danke für den tipp mit dem nachprüfen, allerdings sind mir die programme nich geläufig und ich weiss auch nicht wie ich die dinger benutze ^^ mich durch fucking manual zu readen is mir immoment zu zeitaufwendig.
kannst es ja mal testen, wäre nett.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück