Lieber Jörg Reinholz,

Ich danke Euch beiden. Ich selbst bin nämlich schon nach ein wenig Herumspielen und dem Erkennen der leicht möglichen Man-in-the Middle-Attacke aus weiteren Prüfungen ausgestiegen.

wie genau wäre Man-in-the-Middle bei einer HTTPS-Verbindung weniger "leicht" und weniger "möglich"?

Ich habe einmal damit experimentiert, eine HTML-Datei lokal auf einem Rechner zu speichern und dem darin enthaltenen JavaScript (darunter Passwort hart kodiert und CryptoJS) Daten zu einer Website zu übertragen, die die Daten nur dann annimmt, wenn das Datenpaket mit dem passenden Schlüssel dekodiert werden kann.

Da die HTML-Datei vom Client nicht aus dem Web angefordert werden kann, sondern eben lokal auf einem Rechner liegt, sehe ich darin einen Login-Ersatz, der POST-Aktionen möglich macht, die eine gewisse Automatisierung beim Datenübertragen zur Website ohne weitere Zusatzsoftware auf dem Client überhaupt ermöglicht.

Man korrigiere mich, wenn ich konzeptionell falsch liegen sollte, aber für einen solchen Fall sehe ich in CryptoJS durchaus einen Sinn.

Gerade sehe ich beim Verfassen des Postings, dass ich vielleicht auf Forge umsteigen sollte, da CryptoJS nicht mehr aktiv weiterentwickelt wird. Dabei war CryptoJS so schön "handlich"...

Liebe Grüße,

Felix Riesterer.