Moin Moin,

ich schreibe derzeit ein Projekt in PHP bei dem Kredit- bzw. Bankdaten gespeichert werden sollen. Dabei setze ich ein Formular ein. Da übertragene Formulardaten aber abgehört werden können wollte ich fragen ob jemand kostenlosen oder günstigen webspace mit SSL-Zertifikat kennen.

Da ich bis jetzt fundlos war, dachte ich mir einen eigenen Verschlüsselungsalgorithmus zu erstellen. So dass die Daten als unlesbarer String übergeben werden und auf der Zielseite wieder entschlüsselt werden um sie in einer Datenbank zu speichern.

Ist davon abzuraten?

Danke im Vorraus!

Mister Ad

Hi.

Grundsätzlich wäre davon eigentlich schon abzuraten weil: Du kannst ja auf der Clientseite, auf der die Daten verschlüsselt werden sollen dies nur mit Java Script, oder VB Script machen. Aber viele Leute haben Java Script deaktiviert und VB Script läuft meines Wissens nach sowieso nur unterm IE. Also könnten nur Leute die auch JS oder VB in ihren Browser aktiviert haben dein Formular benutzen. Und ob das soooo sinnvoll ist ?

Sie werden ja nicht clientseitig, sondern serverseitig via PHP verschlüsselt.

Nehmen wir mal eine einfachste verschlüsselung die es gibt:

Bankname: Deutsche Bank24
Verschlüsselt : Efvutdif Cbml35 (Serverseitig durch PHP)

In diesem Fall wurde lediglich jeder Buchstabe/Zahl um eins hochgerechnet.

Das Formular übergibt nun den String "Efvutdif Cbml35". In der Zieldatei wird dieser String nun wieder zu "Deutsche Bank24" umgeformt und in einer DB gespeichert.

Sollte jemand den String abhören kann er damit nichts anfangen. naja gut, in diesem Beispiel schon, aber wenn die Verschlüsselung ausgetüftelter ist nicht. ODER?

Und wie soll das Formular den eingebenden String ohne JS verschlüsselet werden und an den Server geschickt werden !? Oder willst du etwa die Banknamen usw schon verschlüsselt eingeben lassen ?

Wollte dir gerade ein Beispiel posten, da habe ich bemerkt das du recht hast. Das Verschlüsseln via PHP ginge natürlich erst nachdem die Daten in der angegebenen Zieldatei des Formulars angekommen sind.

Hast recht ... grübel ...

Mmhh, kennst du (oder irgendjemand anders) vielleicht günstigen SSL-Webspace

plus: Wie hört man eigentlich Formulardaten ab? Gibt es da Tools für?

THX!

Man kann die Formulardaten "nur" abhlören wenn man im Borwser ausversehen oder extra irgerentein Backdoortool installiert hat, dass die gesamten Daten an irgenteine Adresse schickt, die vom Browser rausgehen, oder wenn man der Provider ist, über den die ganzen Daten transferiert werden . Das mit den SSL Space ist mir auch schon aufgefallen, dass der nicht für unter 30€ zu haben ist

WAS???? Na das ist ja klar. Ich dachte immer da steckt mehr dahinter.

THX!

Jo, wenn du Angst hast der Geheimdienst dich über Interprovider aushorchen will

Also darum muss ich mir meiner Kenntnis nach keine Sorgen machen *g*

Was mir besonders gefällt sind Man-In-The-Middle-Angriffe im LAN Damit kann man den gesamten Netzwerkverkehr abhören und, wenn er nicht verschlüsselt ist, lesen.
http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack
http://de.wikipedia.org/wiki/ARP-Spoofing
Damit lassen sich sogar bei unvorsichtigen Benutzern SSL-Sessions auslesen, weil diese entsprechende Warnmeldungen einfach wegklicken.

Würdest du deine Daten mit so einer "billigen" Mithode wie alle Ziffern eins hoch rechnen verschlüsseln, könnte man sie dann ohne weiteres wieder entschlüsseln (zumal man ja den Quellcode von deinem Verschlüsselungsalgorithmus einfachst einsehen kann).

Ich rate dir, hol die einen teuren Anbieter mit echtem (und nicht selbstgebasteltem) SSL-Zertifikat. Wenn du mit Bankdaten umgehst, sollte dir Sicherheit soviel Geld wert sein!

KMAssS