nicht angemeldet
passwort und username verschluesseln
Hallo,
mit Interesse habe ich den Beitrag zur verschluesselung von Loginnamen und Passwort mit MD5 gelesen. Aber, kann man denn sich dann nicht, wenn man diese Verschluesselung abfaengt, trotzdem andemlden, wenn der user sich dann doch quasi mit der Verschluesselung anmeldet? (oder habe ich hier etwas nicht verstanden und es liegt ein Denkfehler vor??)
Meine Idee war es nun, die Verschluesselung zusammen mit der aktuellen zeit und datum erneut per JS und MD5 zu verschluesseln und dann zu uebertragen. Dann wuesste jemand, der diese Daten abfaengt, nur die Kennung fuer einen bestimmten Zeitpunkt.
Ich sehe nur einen Haken darin, dass die Gespeicherten Daten (Loginname, Passwort, MD5 Summe(?)) vor einem Login auf dem Server auch noch einmal nach dem selben Schema wie oben verschluesselt werden muessten.
Oder ist das alles zu umstaendlich und mensch sollte lieber auf .htaccess und andere Module zurueckgreifen....
gruss John
-
Also, ich hab mich bisher noch nicht mit der Verschlüsselung per JS beschäftigt, aber ich rate dir einfach mal zu nem SSL-Server. Das schöne daran ist, daß dein Provider die Sache einrichten darf, und du keine Arbeit mit hast. Wenn es darum geht, die Daten auf dem Server zu speichern, gibt es da eingendlich 3 Möglichkeiten:
1. Das CGI läuft unter einem besonderen Benutzer, der in ne Datei schreibt, die andere nicht lesen dürfen.
2. Das CGI speichert die Daten mit diesem Unix-Crypt ab, dann ist alles verschlüsselt, aber du kannst es nicht mehr entschlüsseln. Wenn du herausfinden willst, ob das Passwort OK ist, tust du es auch mit Crypt verschlüsseln, und schaust, ob das Ergebnis übereinstimmt.
3. Das Programm verschlüsselt die Daten mit PGP zur Laufzeit, und du holst sie dir per FTP, und nur du hast den privaten Schlüssel, und kannst die Daten wieder entschlüsseln.
-
Hallo!
... verschluesselung von Loginnamen und Passwort mit MD5.... Aber, kann man denn sich dann nicht, wenn man diese Verschluesselung abfaengt, trotzdem andemlden, wenn der user sich dann doch quasi mit der Verschluesselung anmeldet?
Ich nehme an du beziehst dich bei deiner Frage auf das Anwendungsbeispiel.
Dies sollte im praktischen Einsatz immer in Verbindung mit Serverlogik (z.B. PHP) gesehen werden.
Ob man sich mit einer abgefangenen MD5-Information trotzdem anmelden kann, hängt in der Regel davon ab wie geschickt der restliche Aufbau der Login-Seite ist.
Mit der Loginseite könnte man eine eindeutige Nummer mitgeben.
Diese könnte man serverseitig z.B. mit SERVER_MD5(Datum-Zeit-Remote IP) erstellen. Detaillierte Beschreibungen hierzu findet man in der genannten PHP Base Lib.
Ich hoffe deine Fragen hiermit beantwortet zu haben.Oder ist das alles zu umstaendlich und mensch sollte lieber auf .htaccess und andere Module zurueckgreifen....
Aber Achtung!!
Ich glaube du vermischst hier nun ein paar Dinge.
Mit .htaccess Datei- und Zugriffskontrollen auf Dateiebene hat dies alles nichts zu tun!!!gruss John
Gruß
Ralf -
Hi!
Meine Idee war es nun, die Verschluesselung zusammen mit der aktuellen zeit und datum erneut per JS und MD5 zu verschluesseln und dann zu uebertragen. Dann wuesste jemand, der diese Daten abfaengt, nur die Kennung fuer einen bestimmten Zeitpunkt.
Das setzt aber voraus, dass die Uhren auf Server und Client exakt gleich laufen. oder? Und das ist in der Praxis eher selten gegeben. Nicht nur ungenaue Uhrzeiteinstellung ist ein Problem, sondern auch Sommer/Winterzeit und verschiedene Zeitzonen. Wobei das letztere sich natuerlich loesen laesst, indem man alles auf GMT ohne Winterzeit zurueckrechnet.
Calocybe