scid: Wert dauerhaft speichern, aber ohne Offenlegung im Http-Header

Beitrag lesen

Tag !

Dauerhaft im Sinne von "über einzelne Seitenaufrufe hinweg". Gibt es bei JavaScript diese Möglichkeit ? Hintergrund ist der, dass ich damit eine "Mann in der Mitte"-sichere Anmelde-Prozedur auch ohne Https entwickeln könnte.

Das bezweifle ich.
Welches Szenario schwebt dir denn vor, was du "absichern" willst?

Md5-Abdrücke der Kennwörter beim Server hinterlegt. Server sendet zufälligen Schlüssel und speichert diesen.
Bei Anmeldung erstellt Client Md5 des Kennworts, speichert diesen intern. Md5 des Kennworts und zufälliger Schlüssel werden aneinandergefügt, davon Md5 erstellt und dieser versendet.
Server führt gleiche Prozedur durch und vergleicht Ergebnis.

Weitere Verarbeitung von Anfragen über gewöhnlichen Php-Sitzungs-Mechanismus.

Will aber Client Datenbank-Inhalte modifizieren, werden Post- oder Get-Anweisungen mit lokalem Kennwort-Md5 aneinandergefügt, vom Ganzen Md5 erstellt und mit versendet. Server überprüft damit, ob "in Mitte" Veränderungen an den Anweisungen vorgenommen wurden.

Wenn es eine einfache Möglichkeit gibt, Werte Client-intern zu speichern, scheint mir das Ganze eigentlich einfach umsetzen zu sein.

Voraussetzung : ich hab' da keinen Denkfehler drin. Und macht Alles natürlich nur Sinn, wenn die Kommunikation von der Mitte zwar nicht modifiziert, aber durchaus beobachtet werden darf. Sonst muss auf das bezüglich Einrichtung und Kosten aufwendigere Https zurückgegriffen werden.

  • Sven Rautenberg

-  scid