Hi,

SSL kann sich der Kunde nicht leisten.

Sicherheit soll erhöht werden.

Fachkundige Beratung kann sich der Kunde also ganz offensichtlich auch nicht leisten, wenn so etwas dabei heraus kommt.

Ein User muss sich zunächst einloggen. Hierfür bekommt er ein Formular mit 2 sichtbaren und 2 unsichtbaren Feldern:

sichtbar: (wie bei einem üblichen LogIn)
        Name
        Passwort

unsichtbar:
        zufälliger von JavaScript generierter String -> späterer Verschlüsselungs-Key
        Hash des Passworts; wird von JavaScipt aktuell gehalten bei Eingabe des Passwortes

Dass dieses „unsichtbar“ absolut total sichtbar ist, wenn der Benutzer sich nur die Mühe macht, nachzuschauen, ist dir hoffentlich bewusst.

Per AJAX lassen sich nun vom Server die Daten nur mit diesem Verschlüsselungs-Key verschlüsselt nachladen. Das aufgerufene JavaSkript kennt jedoch diesen Key auch und kann die Daten Client-Seitig entschlüsseln.

Und welche Stelle in der Datenübertragung glaubst du jetzt mit dieser „Verschlüsselung“ abgesichert zu haben, und wo gegen?

MfG ChrisB