nicht angemeldet
Verschlüsselung + Upload
Hallo liebes Forum,
kann man mittels php dateien (egal ob exe, doc, xls,...) beim upload verschlüsseln und verschlüsselt auf einem server hinterlegen und dann beim download mittels eingabe eines schlüssels wieder entschlüsseln?
danke für eure tipps!
cr
-
Hallo,
Du kannst sie einlesen, verschlüsseln und dann vor dem Donwnload entweder verschlüsseln und dann mit echo ausgeben oder du sagst dem Benutzer den Schlüssel, wobei du aufpassen musst, dass du jedesmal einen anderen Schlüssel verwendest, den du am besten mit dem Dateinamen in einer DB ablegst.
mfg, Flo
--
sh:) fo:| ch:? rl:( br:^ n4:| ie:{ mo:| va:} de:> zu:} fl:{ ss:) ls:< js:|-
Hallo,
hallo,
okay.. ich habe mir es wie folgt gedacht:
gebe in ein html formular den schlüssel und die datei an...lad das ding hoch, und wenn ichs wiederrunter lade, muss ich beim download den schlüssel erst eingeben, und dann wird die datei entschlüsselt...
an welche php-befehl denkst du da?
grüße
-
an welche php-befehl denkst du da?
I>ch würde da an .zip denken und das Archiv per Passwort sichern. Dann kann der Uploader das Passwort selbst festlegen und die Datei wird erst wieder auf dem Client-Rechner entpackt. Man-in-the-middle-Attacken fallen dadurch aus.
-
hallo multi,
genau das wollte ich eigentlich umgehen...es soll plattform und software unabhängig funktionieren...d.d. ich will, dass ich von jedem rechner mit jedem os und egal ob dieser zip hat oder nicht ver und entschlüsseln können...und man in the middle bekämpfe ich mittels einem variablen tan, welcher beim ver-und entschlüsseln eingegeben werden muss...
-
genau das wollte ich eigentlich umgehen...es soll plattform und software unabhängig funktionieren
Da sehe ich kein Problem. Es gibt PHP-Klassen, die eine .zip erzeugen. Eine ist z.B. im phpMyAdmin integriert.
...d.d. ich will, dass ich von jedem rechner mit jedem os und egal ob dieser zip hat oder nicht ver und entschlüsseln können..
Auch klein Problem, du musst ja nur ein selbstexrtahierendes Archiv erzeugen
IMO macht es nur wneig sinn, wenn die Ver- und Entschlüsselung auf dem Server erfolgt und die Datenübertragung selbst im Klartext. Dann kannst du dir das Ganze ja gleich sparen, wie ich meine.
-
-
-
Moin!
gebe in ein html formular den schlüssel und die datei an...lad das ding hoch, und wenn ichs wiederrunter lade, muss ich beim download den schlüssel erst eingeben, und dann wird die datei entschlüsselt...
an welche php-befehl denkst du da?
Welchen Sinn hat dieses Vorgehen? Wenn der Angreifer Zugriff auf den Server hat, dann kann er den Upload der unverschlüsselten Datei sowie des angegebenen Schlüssels abfangen und an die Datei rankommen, ebenso geht dies beim Download.
Für wirkliche Sicherheit verschlüsselst du die Datei lokal auf deinem System per GnuPG oder PGP und lädst nur die verschlüsselte Datei hoch und wieder runter.
Bedenke auch, dass ein passwortloses Up-/Downloadsystem auch von anderen für ihre ggf. nicht ganz legalen Zwecke genutzt werden könnte.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Moin!
moin! (eigentlich ja aber schon nachmittag :-) )
es soll eben plattformunabhängig sein...siehe meinem anderen kommentar...
passwortgeschützt ist dieses system, und auch beim login musst du neben passwort und benutzernamen einen sich ständig verändernden keyeingeben...d.h. wenn du das pwd kennst kommst erstmal trotzdem nicht rein...
ausserdem ist das keine hunderttausend--besucher seite, sondern soll eher nur privaten zwecken dienen und deshalb meine ich, dass hacker daran eher wenigerinteresse haben...grüße cr
-
Hallo,
dass hacker daran eher wenigerinteresse haben...
Wenn man dateien hochladen kann... und wenn der Server vllt nicht optimal gesichert ist... dann ist das Interesse bestimmt groß!
mfg, Flo
--
sh:) fo:| ch:? rl:( br:^ n4:| ie:{ mo:| va:} de:> zu:} fl:{ ss:) ls:< js:|-
Hallo,
dass hacker daran eher wenigerinteresse haben...
Wenn man dateien hochladen kann... und wenn der Server vllt nicht optimal gesichert ist... dann ist das Interesse bestimmt groß!mfg, Flo
die sicherheit vom server besteht...zumindest traue ich das meinem hoster zu...aber zurück zum thema...hast du vlt. eine passende methode in php?
-
Hallo,
zu...aber zurück zum thema...hast du vlt. eine passende methode in php?
direkt jetzt nicht, aber guck mal in den Quelltexten von PhpMyAdmin (da lohnt sich immer ein Blick rein) die verschlüsseln auch mal was [1], vllt ist da was für deine Zwecke dabei.[1] Sonst wäre in der config-Datei kein Passwort gespeichert.
mfg, Flo
--
sh:) fo:| ch:? rl:( br:^ n4:| ie:{ mo:| va:} de:> zu:} fl:{ ss:) ls:< js:|-
Hi,
guck mal in den Quelltexten von PhpMyAdmin (da lohnt sich immer ein Blick rein) die verschlüsseln auch mal was [1], vllt ist da was für deine Zwecke dabei.
[1] Sonst wäre in der config-Datei kein Passwort gespeichert.
Wo wird denn die config-Datei vom PMA verschluesselt?
Da traegst du die Zugangsdaten ein, und laedst das ganze im Klartext auf den Server.
MfG ChrisB
--
„This is the author's opinion, not necessarily that of Starbucks.“-
Hallo,
Wo wird denn die config-Datei vom PMA verschluesselt?
In der Datei wird iwo nach einem Passwort gefragt (ich glaube für blowfisch oder so)
mfg, Flo
--
sh:) fo:| ch:? rl:( br:^ n4:| ie:{ mo:| va:} de:> zu:} fl:{ ss:) ls:< js:|
-
-
-
-
-
-
-
-