sagato0816

Hallo zusammen,
ich weiß, der Titel ist nicht besonders aussagekräftig, aber mir ist kein besserer eingefallen, wenn jemandem ein besserer einfällt, einfach schreiben

Also folgendes: Ich programmiere zur Zeit ein Browsergame. In diesem soll man sich, wenn man einen Benutzeraccount erstellt hat, per Mausklick auf Welten registrieren und auch einloggen können. Ich habe mir das Ganze so vorgestellt, dass der Server, auf dem man den "Hauptaccount" hat (wir nennen ihn mal Server1) eine HTTP Anfrage an der Server, auf dem der Client sich einloggen will (Server2), schickt. Es soll sich dabei um eine ganz normale POST-Anfrage handeln, die von einem Skript auf Server2 verarbeitet wird. Server2 Antwortet daraufhin mit einem Login Token, der dem Client zum einloggen übergeben wird. Aber Natürlich soll keiner einfach so eine entsprechende Anfrage an Server2 senden können, um an einen Login Token zu kommen. Deswegen habe ich mir gedacht, dass man ja einfach ein Passwort, dass Server1 und Server2 hat, mitschicken könnte.

Nun zu meiner Frage: Könnte das Passwort von jemandem abgefangen werden (SSL verschlüsselung ist leider nicht möglich)? Wie kann man die Sicherheit verbessern? Würde es die Sicherheit steigern, wenn auf Server2 die IP Adresse, die Server1 hat, gespeichert ist, und diese dann kontrolliert wird (der Server hat ja eine feste IP).
Wie wird normalerweise die Sicherheit bei solchen Autentifizierungen gewährt?
Und wie genau kann man mit PHP eine POST Anfrage an einen Server schicken? Reicht da fopen()?

Google und Sufu habe ich benutzt, aber leider nichts gefunden, was mir wirklich weiterhilft

Vielen Dank im Vorraus

__________________
mfg
sagato0816

Mister Ad

sagato0816

Weiß niemand etwas dazu?
Bitte helft mir, ich weiß wirklich nicht mehr, nach was ich Googeln soll...

__________________
mfg
sagato0816

Flor1an

Erstmal bitte nicht drängeln.

Eine solche Kommunikation findet normal über SSL und Zertifikatabfragen statt. Dafür gibt es schließlich die Technik. Und die Ausrede "es geht nicht mit SSL" heißt nur das ihr eure Server nicht entsprechend ausgewählt habt. Bevor ihr jetzt einen eigenen Hack schreibt um irgendwie Pseudosicherheit zu bekommen solltet ihr lieber überlegen euch Server anzuschaffen die auch über SSL kommunizieren können. Ihr braucht ja noch nicht einmal ein verifiziertes Zertifikat, da reicht ja ein selbst erstelltes, solang es von den Servern gegenseitig überprüft wird.

In PHP gibts dafür zum Beispiel die curl Funktionen. Ansonsten bin ich mir ganz sicher das Google dafür genug Ergebnisse ausspuckt. Allein hier im Forum findet man genug Threads mit der Suche wie man POST Anfragen mit PHP versendet.

sagato0816

Ok, dann werde ich mich da mal informieren, und bis jetzt habe ich noch gar keinen Server ausgewählt, aber ich wollte auf dem Server dann Virtuelle Hosts verwenden und unter
http://httpd.apache.org/docs/2.2/de/...ame-based.html steht unter dem Punkt
folgendes:
Deswegen dachte ich, ich werde auf dem Server dann kein SSL verwenden können, obwohl der Server das laut Anbieter kann. Kann es sein, dass ich diesen Punkt ein bisschen falsch verstanden habe, oder besteht wirklich keine Möglichkeit, SSL zu verwenden, wenn ich auf meinem Server Namensbasierte virtuelle Hosts habe und das Skript, das per SSL kommunizieren soll, auch unter einem Namensbasierten virtuellen Host läuft?

__________________
mfg
sagato0816

ChrisB

http://de.wikipedia.org/wiki/Transpo..._in_der_Praxis, vorletzter Absatz.

__________________
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?

sagato0816

Entschuldigung erst mal, dass ich so lange nicht geantwortet habe, die letzten Tage waren ziemlich stressig. Ich habe mir jetzt den Link mal angeschaut. Ich müsste also TLS 1.2 verwenden. Wird die Sicherheit bei den APIs von beispielsweise Bezahlanbietern (PayPal usw.) auch so gewährt, oder wie funktioniert dort die Authentifizierung? Ich habe mich zwar mit der PayPal API vertraut gemacht, aber verstehe im allgemeinen die Funktion von SOAP usw noch nicht ganz. Mehrere Tage googeln war leider auch nicht so ergiebig. Besteht eine Gemeinsamkeit zwischen beispielsweise der PayPal API und dem, was ich machen will, oder funktioniert die Authentifizierung bei PayPal anders, als wir hier besprochen haben?

Und danke für die bisherigen Antworten!

__________________
mfg
sagato0816

sagato0816

Weiß niemand, wie die Authentifizierung bei den API von Paypal zum Beispiel funktioniert, ich dachte nämlich, da wird nicht unbedingt SSL/TLS vorrausgesetzt...

Wäre das Ganze sicher, wenn ich auf beiden Servern eine Art TAN Liste wie beim Onlinebanking hätte? (Also jede TAN ist genau einmal gültig und wird dann gelöscht)

__________________
mfg
sagato0816

Sirke

Das Schlagwort nach dem du suchen solltest ist "Single-Sign-On"! Dazu gibt es eine Reihe von Ideen und immernoch genügend die auf symm Kryptographie setzen. Grundsätzlich teilen sich die Server ein Geheimnis, welches zur Authentifikation und/oder Verschlüsselung genutzt wird.

sagato0816

Hallo,
Die Artikel die ich zu Single sign in gefunden habe haben meine frage zur die Übertragung der daten zwischen den Servern leider nicht beantwortet. Ich möchte, dass der server, auf dem man eingeloggt ist sich bei dem server, auf dem der benutzer sich einloggen will, authentifiziert, woraufhin er eine einmal Login tan bekommt, mit deren Hilfe sich der Client dann einloggt.

__________________
mfg
sagato0816

Flor1an

Bei SSO Lösungen wie z.B. OpenID authentifizieren sich die Server aber auch über eine gesicherte Verbindung. Ich versteh nicht wieso du dir so viele Gedanken und Probleme machst anstatt einfach dich mal drum zu kümmern das dein Server auch über eine SSL Verbindung kommunizieren kann. Kann mir gar nicht vorstellen das es heute noch Server gibt auf denen das nicht möglich ist ...