Philipp Hasenfratz: SSL im Eigenbau ?

Beitrag lesen

SELF-Forum

SSL im Eigenbau ?

Philipp Hasenfratz Homepage des Autors
Informationen zu den Bewertungsregeln

Halihallo Hanno

Ich programmiere gerade einen Webshop und hatte Folgendes zum Thema Verschlüsselung vor, da ich nicht über einen SSL Server verfüge:

Sehr geehrter Kund(e|in),

Bedauerlicherweise muss die Geschäftsleitung Ihnen gestehen, dass das Geld für ein
SSL-Zertifikat nicht aufgebracht werden konnte. Die Technik hat speziell
für Sie ein Javascript-Sicherheitsmechanismus erstellt, nur leider, ..., haben Sie
Javascript deaktiviert :-(
Kein Javascript, keine Geschenke einkaufen. Ach ja, falls Sie dies dennoch möchten,
dürfen Sie natürlich auch unser Formular ohne Javascript und ohne Verschlüsselung
verwenden und dort Ihre Mastercard-Nummer im plain/text übermitteln.

Wir bedanken uns für Ihr Verständnis.

Mit freundlichen Grüssen

Der Vorstand, der lieber selber Donati einsteckt...

--- :-) ---

Äm, für SSL braucht man keinen Server, sondern ein Zertifikat und einen Webserver, der
dieses Protokoll unterstützt.

1.) Daten werden normal in einem Formular eingegeben
2.) Bei "Submit" werden Daten in Formular durch AES mit einem bestimmten Schlüssel chiffriert und gesandt

Du meinst wohl DES. Äm, für eine DES-Encryption braucht es ein Passwort, ein Passwort
das der Kunde bei der Bestellung eingeben soll? - Woher hat er dieses Passwort, bzw.
wenn er es selber eingibt, wie gelangt es zu dir? - Über E-Mail? - Nun ja, Schluss mit
Sicherheit, da bringt selbst ein 1024bit Schlüssel mit TripleDES nix mehr...

Ich habe mir gedacht, dass ich somit eine sehr hohe Sicherheit erziele. Was sagt ihr dazu ?

So wie du es Vorschlägst ist es IMHO unsicher. Schwachstelle: Passwort. Dieses muss
irgendwie von dir zum Kunden bzw. vom Kunden zu dir gelangen und da ist das Problem.
Du müsstest eine official/private-key Umsetzung erwägen, wo der Kunde sich den
öffentlichen Schlüssel auf der Website holen kann, die Formulardaten damit schiffriert
werden und mit demselben Schlüssel nicht mehr rückschiffrieren lassen, erst mit dem
nur von dir bekannten private-Key können sich die Formulardaten entschlüsseln lassen.
s. GnuPG oder PGP.

Viele Grüsse

Philipp

--
RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.
Beitrag melden
Informationen zu den Bewertungsregeln
0 28

SSL im Eigenbau ?

Hanno
  • programmiertechnik
  1. 0
    Stefan Bach
  2. 0
    Christopher Schmidt
    1. 0
      Frank aus Ulm
  3. 0
    Sven Rautenberg
    1. 0
      Hanno
      1. 0
        Frank aus Ulm
  4. 0
    Philipp Hasenfratz
    1. 0

      klitze, kleine corrigenda

      Philipp Hasenfratz
      1. 0
        Hanno
        1. 0
          Stefan Bach
        2. 0
          Christian Seiler
    2. 0
      Carsten
      1. 0

        Korrektur

        Carsten
  5. 0
    TomIRL
  6. 0
    Tim Tepaße
  7. 0
    Henryk Plötz
  8. 0
    Hanno
    1. 0
      TomIRL
      1. 0
        Hanno
        1. 0
          TomIRL
          1. 0
            Hanno
            1. 0
              Henryk Plötz
              1. 0
                Hanno
                1. 0
                  Henryk Plötz
        2. 0
          Sven Rautenberg
      2. 0
        Hanno
        1. 0
          TomIRL