ssl/ Verschlüsselung über javascript und php
Jake
- webhosting
0 dedlfix0 Jake0 Jens Holzkämper0 Jake0 Jens Holzkämper0 Jake
2 molily
Hallo,
Ich würde meine Website gerne mit einer verschlüsselten Verbindung aufrufen. Ich möchte das aber kostenlos machen können...
Leider sagt mit google das man bei meinem Webhostinganbieter (1und1) kein selbst generiertes Zertifikat importieren kann und ..., also kaufen müsste oder?
Jetzt meine Frage: Könnte man eine verschlüsselte Verbindung über PHP und Javascript (oder Java?) aufbauen.
Soll heißen: Man ruft Webseite, PHP verschlüsselt Inhalt und sendet ihn, Browser bekommt dann Website mit Javascript das den Inhalt wieder entschlüsselt und anzeigt...
LG Jake
Tach!
Ich würde meine Website gerne mit einer verschlüsselten Verbindung aufrufen. Ich möchte das aber kostenlos machen können...
Leider sagt mit google das man bei meinem Webhostinganbieter (1und1) kein selbst generiertes Zertifikat importieren kann und ..., also kaufen müsste oder?
SSL-Zertifikate gibt es je nach Paket zumindest optional. Eine Preisliste dazu fand ich jedoch nicht.
Selbst generierte Zertifikate lassen sich meiner Meinung nach ab VServer aufwärts einsetzen. Aber die sind nur für einen eingeweihten Personenkreis sinnvoll, weil sich die Browser bitterböse darüber beschweren (im Gegensatz zu solchen, die von Zertifizierungsstellen von allen möglichen und unmöglichen Ländern und Firmen dieser Welt ausgestellt wurden).
Jetzt meine Frage: Könnte man eine verschlüsselte Verbindung über PHP und Javascript (oder Java?) aufbauen.
Kann man. Die Frage ist, welches Ziel damit erreicht werden soll.
Soll heißen: Man ruft Webseite, PHP verschlüsselt Inhalt und sendet ihn, Browser bekommt dann Website mit Javascript das den Inhalt wieder entschlüsselt und anzeigt...
Und wo befindet sich der Schlüssel zum Entschlüsseln? Hat den jeder potentielle Besucher in Form eines Passwortes? Out of the Box könnte sonst nur der Webserver alles benötigte mitsenden, und dann kannst du dir die Geschichte sparen, weil jeder Mitlesende ebenfalls alles nötige zum Entschlüsseln mitschneiden kann.
Wenn du einen Prozess à la SSL nachbauen willst, brauchst du im Browser einen Speicher, der die benötigten Daten zwischen den Requests speichert. Cookies sind dafür nicht ausreichend, weil die stets mit über die Leitung gesendet werden, was im Falle eines geheimen Schlüssels kontraproduktiv ist.
dedlfix.
Wenn du einen Prozess à la SSL nachbauen willst, brauchst du im Browser einen Speicher, der die benötigten Daten zwischen den Requests speichert. Cookies sind dafür nicht ausreichend, weil die stets mit über die Leitung gesendet werden, was im Falle eines geheimen Schlüssels kontraproduktiv ist.
dedlfix.
Man könnte den den window.name für die Speicherung nehmen. Und wie macht das den SSL, mit dem Schlüssel-zukommen lassen?
Kann das Javascript: eine ganze Webseiten entschlüsseln? Und wie lange kann das dauern? Oder muss man das mit Java machen?
Wird das irgendwo schon so eingesetzt?
LG Jakob
Tach,
Man könnte den den window.name für die Speicherung nehmen. Und wie macht das den SSL, mit dem Schlüssel-zukommen lassen?
Wird das irgendwo schon so eingesetzt?
Eher nein, da für den User nicht feststellbar ist, dass tatsächlich verschlüsselt wird, ist das nicht wirklich sinnvoll.
mfg
Woodfighter
Eher nein, da für den User nicht feststellbar ist, dass tatsächlich verschlüsselt wird, ist das nicht wirklich sinnvoll.
mfg
Woodfighter
Meine Website ist nur für einen kleinen Personenkreis, die glauben mir das schon :D Oder wie meinst du das?
Ich bin auf eine JavaScript-Bibliothek gestoßen:http://www.jcryption.org/. Aber die ist nur für einzelne Formulardaten gedacht, also Passwörter...
LG Jakob
Tach,
Eher nein, da für den User nicht feststellbar ist, dass tatsächlich verschlüsselt wird, ist das nicht wirklich sinnvoll.
Meine Website ist nur für einen kleinen Personenkreis, die glauben mir das schon :D Oder wie meinst du das?
das ist der erste Punkt, der nächste ist, ich kann als Nutzer nicht erkennen, ob es einen MitM-Angriff gibt (Verschlüsselung ist nur die eine Hälfte, Authentifizierung ist die andere).
Ich bin auf eine JavaScript-Bibliothek gestoßen:http://www.jcryption.org/.
Für Crypto-Software gilt allgemein, dass man nur gut getesten Implementationen vertrauen sollte, es ist immer wieder erstaunlich, was man da so alles falsch machen kann.
Aber die ist nur für einzelne Formulardaten gedacht, also Passwörter...
mfg
Woodfighter
Aber die ist nur für einzelne Formulardaten gedacht, also Passwörter...
Ich meinte damit das man keine Bilder, etc. verschlüsseln kann.
das ist der erste Punkt, der nächste ist, ich kann als Nutzer nicht erkennen, ob es einen MitM-Angriff gibt (Verschlüsselung ist nur die eine Hälfte, Authentifizierung ist die andere).
Du hast mich überzeugt :D, ein Zertifikat müsste vom Browser überprüft werden...
Ich werde einfach einen TLS proxy verwenden der "nahe an der Hompage ist", die Hilfe meines Webhosters behauptet, das mein Webhoster (1und1) das bei meinem Tarif kostenlos anbietet...
Vielen Dank für die Hilfe!
MfG Jakob
Tach,
Ich meinte damit das man keine Bilder, etc. verschlüsseln kann.
kein Problem: https://en.wikipedia.org/wiki/Data_URI_scheme
Ich werde einfach einen TLS proxy verwenden der "nahe an der Hompage ist", die Hilfe meines Webhosters behauptet, das mein Webhoster (1und1) das bei meinem Tarif kostenlos anbietet...
Das ist ja dann schon fast so sicher wie DE-Mail…
mfg
Woodfighter
Ich meinte damit das man keine Bilder, etc. verschlüsseln kann.
kein Problem: https://en.wikipedia.org/wiki/Data_URI_scheme
ist ja genial! :D
Das ist ja dann schon fast so sicher wie DE-Mail…
Was ist denn an beidem so unsicher?
:)
Tach,
Das ist ja dann schon fast so sicher wie DE-Mail…
Was ist denn an beidem so unsicher?
der unverschlüsselte Teil der Übertragungsstrecke
mfg
Woodfighter
Hallo,
Kann das Javascript: eine ganze Webseiten entschlüsseln? Und wie lange kann das dauern? Oder muss man das mit Java machen?
Wird das irgendwo schon so eingesetzt?
Generell: Wenn man keine Ahnung von Kryptographie hat, sollte man es tunlichst lassen, irgendeine »Verschlüsselung« selbst zu implementieren. Dabei kommt mit großer Sicherheit keine Sicherheit heraus.
Werde dir erst einmal im klaren, was du mit der Verschlüsselung bezwecken willst. Höchstwahrscheinlich ist SSL/TLS die Antwort und alles andere ist eine ineffektive Spielerei, die höchstens zur Obfuscation (Verschleierung) taugt. Viele Provider bieten neben kostenpflichtigen Zertifikaten für eigene Domains eine vorgefertigte SSL-fähige Domain an, z.B. https://kundenserver.example.org/dein-account/. Da braucht der Provider nur ein Zertifikat kaufen, dafür teilen sich hunderte Websites denselben »Origin«.
Grüße,
Mathias