Variablen verschlüsseln und weiterleiten an PHP Script

[Kerwin]

Hallo alle bei sammen,

Ich habe da mal eine Frage zwecks Formular und dessen Auswertung.
Wenn ich zum Beispiel ein Login für einen bestimmten bereich habe, muss ja jeder User seinen Namen und PW in ein Inputfeld schreiben und dann submit klicken. Das Passwort an sich wird ja dadurch im Klartext an das Zielscript versendet wodurch ja eine kleine Sicherheitslücke entstehen kann.

Nun die Frage, wie man das Passwort gleich verschlüsselt an das PHP Script senden kann? Hat da jemand einen Vorschlag?

Mir ging das schon durch den Kopf mit JavaScript zu lösen, sprich, er holt sich das PW aus dem Inputfeld heraus, wandelt es in eine md5() Zeichenkette um und verschickt dann diesen? Weiß ich aber nicht ob das eine gute Lösung wäre.

Ich hoffe auf eine Antwort zu dem vielleicht doch etwas komplizierterem Thema.

Kerwin

 

[_voodoo]

Wo genau vermutest du die Sicherheitslücke? Solange du nicht
per GET übergibst, sondern POST, besteht eigentlich kein Pro-
blem - es sei denn jmd. bearbeitet dein PHP Script für seine
niederen Zwecke.

 

[ludz]

Diese JavaScript-Methode wäre kein Stück sicherer (beachte auch, dass manche User JavaScript ausgeschaltet haben!).

Mir fällt spontan nur die Verwendung von SSL ein.

 

[Kerwin]

Original geschrieben von _voodoo
Wo genau vermutest du die Sicherheitslücke? Solange du nicht
per GET übergibst, sondern POST, besteht eigentlich kein Pro-
blem - es sei denn jmd. bearbeitet dein PHP Script für seine
niederen Zwecke.

Die weitergabe per GET oder POST wäre ja egal, weil die auswertung ja eh im Script kommt und von außen ja nicht auf die URL zugegriffen werden kann(?).
Mir geht es in erster Linie darum, dass kein Hacker oder sonst was die Daten in irgendeiner Form(kenn mich ja damit nicht aus) abfangen kann.

SSL schließt ja "diese Sichheitslücke" mit ab, aber das kann ich mir nicht leisten, kostet ja 300-1000$ sich das einrichten zu lassen.

@Ludz
Ich denke das es schon sicherer wäre, wenn ich das PW vorher mit md5() verschlüssele und diesen Hash weitergebe, aber du hast recht, manche haben es abgeschaltet und daran hab ich natürlich nicht gedacht gehabt.

Nun gut, dann wird mir wohl nix anderes übrigbleiben das wie bisher zu machen.
War halt nur mal eine Überlegung von mir ob man das evtl sicherer machen könnte.

 

[ludz]

Original geschrieben von Kerwin
SSL [...] kann ich mir nicht leisten, kostet ja 300-1000$ sich das einrichten zu lassen.

Wirklich? Bin auch kein Kenner von SSL, aber wenn ich mir OpenSSL so anschaue, dann fallen mir dort keine grßen Kosten auf?
http://www.openssl.org

 

[Kerwin]

naja, wie der name schon sagt, openSSL. Kannte ich jedenfalls noch nicht das es sowas auch als open gibt. Werde ich mir mal durchlesen. Thx für Link

 

[Daxi]

Du kannst den Login generell abfangen, egal ob per GET oder POST.
Im GET-Modus ist das Passwort für jeden lesbar und in der History nachvollziehbar. Bei POST nicht.
Außerdem wird deine Seite schon nicht so besonders geheime oder wichtige Inhalte haben, dass sich da ein Hacker mit einer BruteForce-Attacke oder so beschäftigt.
Wenn es um ein Forum geht, kann man sich sowieso meistens selbst registrieren.
Dann macht sich der "Hacker" doch schneller einen Account, bevor er irgendein Passwort abfängt...
Für OpenSSL-Zertifikate wird von Hostinganbietern trotzdem Geld verlangt.
Meinst so um die 100 Euro im Jahr.
Wenn du root-Zugriff hast, müsstest du ein solches Zertifikat aber selber machen können...
Kenn mich da aber auch nicht genau aus, weil ich mich nur ganz am Rande damit beschäftigt habe und ich bei meinem Anbieter keinen root- oder sheel-Zugriff habe...

 

[Kerwin]

Mit GET und POST hat das doch nix zu tuen, da dies eh Clientseitig abgerufen wird und auch nur der die URL sieht mit dem PW(bsp GET), hab ich aber oben schon gesagt gehabt.
Ob wichtig oder nicht wichtig sei mal dahingestellt und ein Forum ist es auch nicht, sonst hättest du natürlich Recht, aber dann hätt ich net gefragt

Ja, root habe ich, aber ich bin nicht so der Linux Guru um sowas selbst zu installieren. Muss mich einfach mal damit auseinandersetzen

 

[Bastades]

Also ich habe mein Loginscript auch mit javascript verschlüsselt (md5).. funktioniert auch super!

Das einzige was ein wannebe hacker bei mir abfangen kann ist das: 333e0ad868c51b3196217822911fc1a6

und die passwörter die ich in eine text datei gespeichert habe, sind mit htaccess nochmal geschützt.


http://www.miekenet.de/publikationen/publi01.html <-- ;-)

 

[saila]

oder http://de.php.net/manual/de/function.md5.php