nicht angemeldet
Hallo,
vielleicht habe schon viele diese Frage gestellt, ich konnte aber trotzdem nichts passendes finden, da ich mich mit dem Codieren nur sehr wenig auskenne. Daher frage ich direkt hier. Also ich möchte ganz normal Passwörter verschlüsseln. Da gibt es eine java-Variante, ein sehr häufiges Algorithmus base64s. Kann mir jemand genauer erklären, wie es funktioniert - bzw. welche Variante ich bevorzugen sollte.
Naja, base64 ist es ja wohl kaum, was? ;-)
Hier mal die kurze aber immer gültige Regel der Kryptographie:
"Security thru obscurity does not work!"
Eine meiner Ableitungen noch dazu:
"Wenn Dir einer nicht erklären kann/darf/will wie ein Schutz funktioniert, dann funktioniert er nicht!"
Aber wenn Du nur ein Passwort verschlüsseln möchtest weil Du Dir die teuren Zertifikate für die SSL Schlüssel nicht leisten kannst, dann nimm einfach md5sum, das ist meistens ausreichend.
http://aktuell.de.selfhtml.org/artikel/javascript/md5/index.htm
(Public Domain)
Außerdem ergab eine kurze Suche bei Google noch folgenden Link:
http://webdeveloper.earthweb.com/webjs/item/0,3602,12754_40991,00.html
(Public Domain)
(Der Link "see the code" ist eine Verarsche, nimm "run the code". Da stehen dann die einzelnen Links zum bequemem Download direkt verlinkt. Du brauchst übrigens alle, je nachdem, was Du machen möchtest. Ist aber sehr kurz alles.)
Wenn Du viel Text, also etwas mehr als nur ein Passwort, verschlüsseln mußt, kommst Du um SSL allerdings leider nicht herum.
Aber Vorsicht:
Es besteht beim schlichtem MD5sum Verschlüsseln die Gefahr, daß jemand die MD5sum abfangen und mit Anschrift und Absender in Zusammenhang bringen kann. Für eine regelgerechte Verschlüsselung ist das also nicht geeignet, dafür braucht es asymetrische Methoden, wie z.B. PGP. Das dürfte aber in Javascript etwas aufwendig zu implementieren sein.
Aber wäre vielleicht mal eine interessante Aufgabe ;-)
Wenn Du Scripte auf dem Server laufen lassen kannst, die eine Session-ID generieren können, dann kannst Du die inklusive der IP des Clients mit reinhängen. Das ist dann etwas aufwendiger zu umgehen und benötigt ein Wissen, das die einfachen Script-Kiddies nicht haben.
Aber richtig sicher ist das natürlich auch nicht!
Du mußt also überlegen, wofür Du die Verschlüsselung brauchst. Nur um ein paar kompromitierende Bildchen zu schützen reicht die MD5Sum + .htaccess Methode.
Für den Zugriff auf die Steuerunterlagen würde ich SSL bevorzugen und für die Pläne der Atombombe 'rm -rfv *'
so short
Christoph Zurnieden
PS:
Irgendjemand erzählte mir mal etwas von einem MiniSSL, das aus einem clientseitigem Java-Applet besteht und einem kleinem Perlscript auf der Serverseite. Ich finde es nur nicht mehr wieder.
Hat außerdem den Nachteil nicht nur Javascript sondern sogar Java zu brauchen.
CZ