Moin!

Wahrscheinlich scheitert das o.g. Konzept irgendwie. - Kann mir jemand ein paar Zeilen schreiben warum und wie man's ggf. besser macht? - Allerdings scheint mir, dass aus Gruenden der Logik ausser dem Webbrowserclient und dem Webserver eine Instanz benoetigt wird, die Sicherheit bereitstellt, oder?

Allein schon eine Formulierung wie "Server, der Sicherheit bereitstellt" ist ziemlich abstrus, wirr und haarsträubend.

Sicherheit ist kein Produkt, was man verkaufen, austauschen oder irgendwie von A nach B transportieren (oder digital auch kopieren) kann.

Sicherheit ist ein Konzept, gewisse Dinge zuzulassen, und andere Dinge nicht.

Bei SSL bestand die Aufgabe darin, zwei Stationen so miteinander kommunizieren zu lassen, dass Dritte diese Kommunikation nicht abhören können. Der Aspekt "dass nicht jeder alles darf" ist von SSL nicht im Geringsten erfaßt.

Realisiert wird SSL durch ein Public-Key-Verfahren, welches es ermöglicht, dass die zwei Stationen trotz abgehörter Leitung Schlüsseldaten austauschen können, um einen sicheren, verschlüsselten Kanal auf der abgehörten Leitung aufzubauen.

Alle anderen Überlegungen zu "Sicherheit" sind davon abhängig, was denn überhaupt passieren soll.

Dinge wie zentral organisierte und geprüfte Authentifizierung von Benutzern beispielsweise führt zu Stichworten wie LDAP.

- Sven Rautenberg