Hallo Matt,

Kann man den Teil für die GET-Metohde irgendwie sicher (halbwegs...) verschlüsseln? Also nicht was in Richtung MD5, was nicht wirklich rückgängig gehen würde. Auf der aufgerufenen Page sollte es ja wieder entschlüsselbar sein.

Wie sieht es da mit der _mcrypt library_ aus?
Oder andere Vorschläge?

Ich würde dir vorschlagen dein Sicherheitskonzept nochmal zu überdenken.

1. Bei brisanten Daten lohnt sich ein SSL-Zertifikat und die Abwicklung des gesamten Datenverkehrs über HTTPS. Das ist sicher, kostet aber auch etwas. Es gibt zwar auch CAcert, das ist aber immer noch nicht durch den Audit.
2. Sensible Daten gehören auch in die Session - nicht nur die Customer-ID.
3. Wenn sensible Daten an den Server übertragen werden müssten diese bereits vor dem Absenden (sprich: Auf der Client-Seite) verschlüsselt werden. Das wäre mit JavaScript ziemlich aufwendig, ist aber möglich.

Grüße

Marc Reichelt || http://www.marcreichelt.de/