Dalia: Passwortschutz ??

Beitrag lesen

SELF-Forum

Passwortschutz ??

Dalia
Informationen zu den Bewertungsregeln

Hallo Forum,

wuerde mich freuen ob Ihr mir da weiter helfen koenntet.

Das Prb.:

Vbscript that reads USERNAME & PASSWORD from a HTML form and verifies it against a database in SQL - cannot be transferred in clear text (this is where we need help).

eine vorgeschlagene Loesung waere:

Nun, das Problem ist ja, dass die Daten noch _vor_ dem Übermitteln kodiert
werden. Verwendet man da kein SSL, ist JavaScript die einzige Möglichkeit
und da jeder den JS-Code ansehen kann (und somit auch Passwörter im JS-Code
sieht), sind die Möglichkeiten auf asymetrische Verfahren beschränkt (da nur
dort der schiffrierte Text nicht mehr mit dem Passwort in der JS-Datei
dekodiert werden kann). Bei synchronen Codern, kann man den Text mit dem Pwd
in der JS wiederherstellen, was ja eine Sicherheitslücke ist... Folge: du
müsstest für eine hohe Sicherheit schon asynchrone Verfahren anwenden und da
ist SSL wohl sogar einfacher, als selber was in JS zu coden. Wenn du jedoch
nur eine mässig gute Schiffrierung aufbauen willst, genügt es, wenn du einen
synchronen Algorithmus anwendest, aber dann könnte es sein, dass einige
schlaue Hacker die JS öffnen und das Passwort rauslesen (aber immer noch
"etwas" schwieriger, als einfach die Datenpackete abzufangen; wobei das
auslesen der JS wohl das kleinste Problem für einen richtigen Hacker ist).
Aber mir kommt da noch eine andere Lösung:
Du kannst synchrone Schiffrierung benutzen, indem du das Passwort in der JS
bei jedem laden änderst (eg. ein Perl oder php Script, dass einfach immer
die Passwörter austauscht). Mit dem Formular übersendest du einfach noch
eine Passwort-ID (damit kann ein Hacker nix anfangen, jedoch dein
Server-Programm weiss dann, mit welchem Passwort das Fomular gecoded worden
ist)...

Beispiel:

<script src="http://.../cgi-bin/getJS.pl"></script>
<form action="...">
   <input type="hidden" name="pwd-id" value="" />
   <input type="password" name="pwd" />
</form>

getJS.pl generiert nun eine JS Datei, welche das Formular codiert und die
Pwd-ID uncodiert in das Formularfeld "pwd-id" einfügt. Wenn das Formular
abgesendet wird, kann dein Server-Programm in der z. B. Datenbank nachsehen,
welches Pwd zum kodieren verwendet wurde und das Formular erfolgreich
dekodieren.

ich wuerde mich ueber Eure Mienung sehr dankbar.

voraus vielen Dank,

Dalia

Beitrag melden
Informationen zu den Bewertungsregeln