Christoph Zurnieden: Admin Login

Beitrag lesen

SELF-Forum

Admin Login

Christoph Zurnieden
Informationen zu den Bewertungsregeln

Hi,

Damit Verizone und Konsorten sich eine güldne Nase verdienen?
Naja, inzwischen bekommt man ja Zertifikate die die meisten aktuellen Browser (IE 5, Moz. 1) unterstützen für unter 20 EUR.

Bist Du Dir sciher, das es sich dabei nicht um Hoster handelt, die das im Paket mit anbieten? Dagegen ist natürlich nichts zu sagen, beileibe nicht, aber es ist nunmal nicht das Gleiche wie eines, das auf die eigene Firma ausgeschrieben ist.

Außerdem ist hier nur ein Paßwort zu verschlüsseln, dafür braucht man keine vollständig verschlüsselte Verbindung, die ja schließlich nicht nur Geld sondern auch kostbare Entropie verbraucht.
Aber das was Du vorschlägst (wenn ich das richtig interpretiere) ist ja keine wirkliche Verschlüsselung. Wenn Du z.B. per Javascript einen md5-Hash des Passworts sendest, bekommt man zwar kein Klartext-Passwort mehr, aber auch mit diesem Hash kann man Zugriff erhalten.

Naja, das das nicht so einfach ist, ist klar. Aber auch kein wirkliches Problem, da z.B. bei der Lösung mit Javascript Einmalhashes verwendet werden bzw sogar ein kompletter Handshake durchgeführt werden kann.

Digest Auth ist in "Nicht kontrollierbaren Umgebungen" AFAIK noch nicht wirklich geeignet da es viele weit verbreitete Browser nicht ordentlich unterstützen. Außerdem gilt mod_auth_digest selber noch als "experimental".

Auch nach all den Jahren noch? RFC 2617 ist immerhin von 1999!
Aber was soll man außer SSL sonst nehmen?
Kerberos? Ist ein Standard den MS erfolgreich verhunzt hat.
Nein, AUTH-Digest ist für eine reine Paßwortübertragung ausreichend sicher. Aber mehr auch nicht, _nur_ für die halbwegs sichere Übertragung des Paßwortes! Man muß dann selber dafür sorgen, ds das PW ausreichend sicher ist (Einwegpaßwörter z.B., die haben dann aber wieder andere Probleme)

Die kann man für andere Sachen (Shopbestellung, Webmail, etc) besser nutzen.
Da sowieso ;-)

Ein Problem sehe ich darin, dass mod_ssl/openssl letzte Zeit des öfteren durch mehr oder weniger gefährliche Bugs aufgefallen sind -> zusätzliches Risiko.

Ähmm, Du implizierst also, das es keine Bugs gibt, wenn keine bekannt sind? Bist Du Dir sicher, das Du das _so_ meintest? ;-)

so short

Christoph Zurnieden

Beitrag melden
Informationen zu den Bewertungsregeln
0 20

Admin Login

Magnus
  • php
  1. 0
    Christoph Zurnieden
    1. 0
      wahsaga
      1. 0
        Christoph Zurnieden
        1. 0
          Andreas Korthaus
          1. 0
            Christoph Zurnieden
            1. 0
              Andreas Korthaus
              1. 0
                Christoph Zurnieden
                1. 0
                  Andreas Korthaus
                  1. 0
                    Christoph Zurnieden
                    1. 0
                      Andreas Korthaus
                      1. 0
                        Christoph Zurnieden
                        1. 0
                          Andreas Korthaus
                          1. 1
                            Christoph Zurnieden
                            1. 0

                              Update-Strategien, HA

                              Andreas Korthaus
                              • webserver
                              1. 0
                                Christoph Zurnieden
                                1. 0
                                  Andreas Korthaus
                                  1. 0
                                    Christoph Zurnieden
  2. 0
    wahsaga
  3. 0
    Götz