nicht angemeldet
Formular pgp verschlüsselt mailen
Hallo
ich hoffe, mir kann jemand weiterhelfen..
Ich habe eine Seite für eine gemeinnützige Orga gemacht.
Auf der Spendenseite ist ein Formular, über das Spenden eingezahlt werden können: Es werden Name und vor allem die Bankdaten eingegeben.
Nun würde ich die Daten gerne verschlüsselt versenden und hatte ein pgp gedacht.
Weiss jemand, wo ich Informationen finde?
Ich habe keine Ahnung, wie in Php die Verschlüsselung mit pgp programmiert werden könnte...
danke
max
-
hi,
Auf der Spendenseite ist ein Formular, über das Spenden eingezahlt werden können: Es werden Name und vor allem die Bankdaten eingegeben.
Nun würde ich die Daten gerne verschlüsselt versenden und hatte ein pgp gedacht.
ich denke, das ist der falsche Anwendungsfall.
Du suchst sicher SSL, oder?Gruß
Reiner-
Hallo Reiner,
Nun würde ich die Daten gerne verschlüsselt versenden und hatte ein pgp gedacht.
ich denke, das ist der falsche Anwendungsfall.
Du suchst sicher SSL, oder?Nein. Es geht um die Verschlüsselung der E-Mail, in der die Daten vom Server zu ihm selbst geschickt werden. (So habe ich das zumindest verstanden, scheine damit aber der einzige zu sein)
Ich denke es gibt bestimmt irgendwas, um GPG direkt von PHP aus anzusteuern. Suche nach (z.B.) <http://www.google.de/search?q=php+gpg@php gpg> hilft (insbesondere [http://www.pantz.org/scripting/php/gpgemail.shtml@title=Send E-mail using PHP and Encrypt it with GPG])
Grüße aus Freiburg,
Marian--
Microsoft broke Volkswagen's world record: Volkswagen made only 22 million bugs!
<!--[if IE]><meta http-equiv="refresh" content="0; URL=http://www.getfirefox.com"><[endif]-->-
Hallo Reiner,
Nun würde ich die Daten gerne verschlüsselt versenden und hatte ein pgp gedacht.
ich denke, das ist der falsche Anwendungsfall.
Du suchst sicher SSL, oder?Nein. Es geht um die Verschlüsselung der E-Mail, in der die Daten vom Server zu ihm selbst geschickt werden. (So habe ich das zumindest verstanden, scheine damit aber der einzige zu sein)
ja, er meinte es vielleicht, aber meiner Meinung (nicht wertend gemeint) aus Unwissenheit. Es macht keinen Sinn, die Daten unverschlüsselt zu übertragen und diese dann per Mail verschlüsselt zu senden. Wenn dann sollte man _alle_ undichten Stellen aushebeln.
Meiner Meinung nach, sollte man die Daten (außer in besonderen Fällen) auch gar nicht per Mail versenden müssen.Gruß
Reiner-
Hallo Reiner,
ja, er meinte es vielleicht, aber meiner Meinung (nicht wertend gemeint) aus Unwissenheit. Es macht keinen Sinn, die Daten unverschlüsselt zu übertragen und diese dann per Mail verschlüsselt zu senden. Wenn dann sollte man _alle_ undichten Stellen aushebeln.
Ich bin davon ausgegangen, dass die Formulardaten natürlich per HTTPS übertragen werden.
Meiner Meinung nach, sollte man die Daten (außer in besonderen Fällen) auch gar nicht per Mail versenden müssen.
Das wäre das Beste, sehe ich auch so.
Grüße aus Freiburg,
Marian--
Microsoft broke Volkswagen's world record: Volkswagen made only 22 million bugs!
<!--[if IE]><meta http-equiv="refresh" content="0; URL=http://www.getfirefox.com"><[endif]-->
-
-
-
-
Hi!
Auf der Spendenseite ist ein Formular, über das Spenden eingezahlt werden können: Es werden Name und vor allem die Bankdaten eingegeben.
Nun würde ich die Daten gerne verschlüsselt versenden und hatte ein pgp gedacht.PGP ist zwar eine schöne Sache, aber das wird hier nichts bringen.
Die Bankdaten sollten nicht unverschlüsselt über's Netz gehen.
Da bringt dir PGP rein gar nichts.
Du solltest eine sichere Verbindung über SSL nutzen, also https:// statt http://.Und dann stellt sich die Frage, was dann weiter mit den Daten passieren soll.
Solche sensiblen Daten sollten in keinem Fall unverschlüsselt in einer Datenbank gespeichert werden.
Durch einen Angriff auf die DB könnte jemand an diese Daten gelangen und außerdem könnte zumindest dein Hoster jederzeit diese Daten einsehen.
Also ist auch hier Verschlüsselung angesagt.
Da könntest du dir mal AES anschauen bzw. die mcrypt-Funktionen in PHP.Wenn du jetzt wirklich verschlüsselte Mails verschicken willst, dann könntest du mit PGP arbeiten.
Ich würde allerdings das freie GPG vorziehen.
Auf GnuPG.org findest du einiges an Anleitungen, Erklärungen, Tutorials und weiteren Texten zum Verständnis.Weiss jemand, wo ich Informationen finde?
Wikipedia, Google. Einige Links hab ich ja bereits gepostet...
In den Wikipedia-Artikeln findest du immer weiterführende Links.Ich habe keine Ahnung, wie in Php die Verschlüsselung mit pgp programmiert werden könnte...
Du könntest mit PHP auf ein, auf dem Server installiertes, GPG zugreifen.
Es handelt sich ja um ein Kommandozeilenprogramm (keine grafische Oberfläche). Mit system() oder exec() könntest du darauf zugreifen.
Sollte kein GPG installiert sein, mußt du deinen Hoster mal anschreiben und lieb drum bitten. Wenn das nicht hilft, müßtest du dir einen anderen Hoster suchen, der dir halt die GPG-Nutzung ermöglicht.Die Mails sollen dann an dich geschickt werden? Das wäre machbar.
Dazu müßtest du dann deinen öffentlichen Schlüssel in einer Textdatei auf dem Server ablegen.
Diesen kannst du dann GPG zu futtern geben.Schöner Gruß,
rob-
Hallo vielen vielen Dank für die Mühe
das hat mir sehr weitergeholfen
-
ich habe nochmal eine Rückfrage:
reicht es, einfach http durch https auszutauschen?
Müssen wir da nicht ein Zertifikat kaufen, oder so?
Es sollte so korrekt wie möglich ablaufen, da es sich ja wie gesagt um die Seite einer orga handelt..
-
Hi!
reicht es, einfach http durch https auszutauschen?
Nein. Das ist nicht ausreichend.
Dadurch, daß du einfach https:// statt http:// schreibst, erreichst du noch keine verschlüsselte Übertragung.
Auf dem Server muß als Grundvoraussetzung erst einmal OpenSSL (oder GnuTLS) installiert sein.Müssen wir da nicht ein Zertifikat kaufen, oder so?
Du kannst auch ein Zertifikat natürlich auch selbst erstellen.
Dann erscheint im Browser allerdings die Meldung, daß dein Zertifikat nicht vertrauenswürdig sei (es sei denn man installiert dein Zertifikat im Browser).Es sollte so korrekt wie möglich ablaufen, da es sich ja wie gesagt um die Seite einer orga handelt..
Also um sicher verschlüsselt Daten zu übertragen, mußt du dir kein Zertifikat kaufen. Die eigentliche Verschlüsselung funktioniert auch so.
Aber wenn du mit deiner Site dann wirklich etwas verkaufen willst (oder wenn Leute spenden sollen), dann würde ich das schon tun.
Ansonsten wirkt die Sache nicht besonders seriös. Ich würde bei sowas dann ziemlich skeptisch werden und meine Bankdaten garantiert nicht eingeben.Schöner Gruß,
rob -
ich habe nochmal eine Rückfrage:
reicht es, einfach http durch https auszutauschen?
nein
Müssen wir da nicht ein Zertifikat kaufen, oder so?
jein, wenn es sich um einen geschlossenen Benutzerkreis handelt, reicht es, das Cert selbst zu erstellen.
Bei Neukunden oder weniger techn. Interessierten, führt aber sicherlich die Fehlermeldung (kein beglaubigtes Cert von offiziell anerkannter Firma...) sicherlich zu Mißtrauen.Es sollte so korrekt wie möglich ablaufen, da es sich ja wie gesagt um die Seite einer orga handelt..
Ich kenne einen Orca. Was meinst Du mit Orga?
Tip:
Sieh Dich mal hier um:
http://www.easterngraphics.com. SSL123 könnte Dich interessieren.
Thawte direkt als Dienstleister ist zwar (etwas) günstiger, dafür ist die Dienstleistung bei Easterngraphics hervorragend. SSL einzubinden, ist -je nach Webserver- immer etwas tüftelig. Die konnten mir immer gut helfen und alles geht sehr fix.Gruß
Reiner
-
-