<Daniel>

Hi Leute,
mein erstes Post in diesem Forum und gleich eine Frage ^^

Also:
Macht es Sinn Benutzer/Password Daten die von einer php Seite zur anderen bzw. in eine mySQL Datenbank geschickt werden zu verschlüsseln?
Man kann das ja einmal mit md5() machen (mach ich jedenfalls) und/oder mit crypt() (<- da weiß ich nicht genau wie das geht).
Und zwar bastel ich gerade eine Homepage und ich mach mir Sorgen, dass evtl. jemand die Daten die vom Login gesendet werden, abfangen kann

Oder ist das alles Unsinn? (bitte nicht sagen: "Ist ja nur eine private Homepage, also egal." ^^)

mfg

Mister Ad

derHund

um sie verschlüsseln zu können, müssen sie erstmal den server erreichen ... hast du kein https, gehen die daten auf jeden fall einmal unverschlüsselt übers netz.

__________________

&lt;Daniel&gt;

Danke schonmal für deinen Beitrag!

Hab schon öfters was über https gehöhrt, weiß aber nicht genau wie ich das am besten konfigurieren muss, hast du evtl. einen Link wo das verständlich erklärt ist? Wäre echt nett! (Hab noch nicht sooo die Ahnung von PHP, hab grad mal ein paar Sachen wie z.B. eine Login php Seite und ein primitives GuestBook, sowie eine kleine primitive News Site, läuft aber alles auf mySQL DBs ^.^°)

mfg

axo

es gibt viele wege, passwörter abzufangen.
die zwei wichtigsten:
* traffic zwischen dem loginformular deines 'users' und deiner seite wird abgefangen - passwort wird - trotz '*' - unverschlüsselt gesendet - du hast verloren.
allerdings kann damit 'schlimmstenfalls' der account deines users gekidnappt werden.

* jemand guckt in deine datenbank rein - wenn dort die passwörter nicht vershlüsselt oder gehasht sind, hast du wieder verloren. hier hat der mensch dann zugriff auf alle benutzer-accounts.

für zweiteres ist hashing (md5, sha1) oder verschlüsselung(crypt) empfehlenswert, allerdings bitte sha1() und nicht mehr das (veraltete) md5 verwenden.
den unterschied zwischen hashing und verschlüsselung solltest du dir übrigens schnellstens einprägen.

die absicherung des ersten problems ist schwieriger, weil vielfältig. cross-site-scripting z.b. ist einfach zu bewerkstelligen, schwer abzusichern.

du kannst
- deine seite mit SSL absichern, dann wird eine man-in-the-middle-attacke schwierig bis unmöglich (zumindest solange der server und der browser des clients korrekt funktionieren).
- das passwort bereits clientseitig verschlüsseln oder hashen (java-applet, javascript) und verschlüsselt an deinen server schicken lassen. schwierigkeit hierbei: der angreifer sieht die verschlüsselungs-/hashingmethode mit sicherheit auch, d.h. es muss eine verschlüsselung/hashing sein, die man durch das einfache lesen des algorithmus nicht rückgängig machen kann.

und nicht vergessen - die authentifizierung des users ist bei weitem nicht die einzige stelle, wo dich jemand angreifen kann. es nutzt nichts, ein stahltor zu bauen und den rest des grundstücks mit einem holzzaun zu umgeben.

... die anderen wissen mehr.

grüße
axo

Hallo Daniel,

md5 zum Abspeichern der Passwörter in der DB ist in jeden Fall ratsam. Wenn du bedenken hast, dass ein Login-Request mitgesniffert werden könnte, kannst du auch die Eingabe im Passwortfeld beim Abschicken noch mit md5 hashen. Hier mal ein Link dazu:

http://aktuell.de.selfhtml.org/artik.../md5/index.htm

axo

übrigens: was https ist, sagt dir wikipedia auch. wir sind nicht dazu da, dir die google-suche zu ersparen. und herzlich willkommen im forum

&lt;Daniel&gt;

@axo
Den Unterschied zwischen hashing und verschlüsseln kenn ich. Beim Hash wird ein Hashwert gebildet, dieser ist wenn man immer wieder den selben z.B. String hashed gleich, z.B. ist 'Auto' immer '06b9281e396db002010bde1de57262eb'.
Beim verschlüsseln kommt immer ein anderes Ergebnis raus, dieser wird durch einen Saltwert beeinflusst/gebildet (Basis).

Zum Traffic abfangen:
Wie kann den der jenige einfach so den Traffic abfangen? So einfach geht das doch nicht oder? Der Angreifer muss dann ja schon was auf dem PC vom Sender drauf gepackt haben ...

Datenbank gucken:
Das geht doch auch nicht so einfach, dazu muss er doch erstmal meinen Benutzernamen + Password haben, damit er überhaupt auf die Datenbank zugreifen kann?

Und wie kann man das am besten mit SSL verschlüsseln? Hast du evtl einen Link fuer mich?
Von Java bin ich nicht so der Fan, da muss der Client ja auch noch Java erstmal installiert haben ...

mfg

€dit Ihr kennt euch doch viel besser aus, deswegen frage ich lieber hier, ihr kennt ja empfehlenswerte Seiten, bis ich sowas bei Google gefunden habe ...

derHund

btw: javascript != java

daß in der db nur hashes abgelegt werden, sollte klar sein - darum gings dir doch auch nicht, oder? an die daten kommt man schnell ran - ich sag nur phpBB
daß du clientseitig per js nicht hashen willst, kann ich verstehen, würde ich auch nicht machen.

aber: SSL kostet dich in 99% aller fälle geld, du mußt das zertifikat bezahlen ... ob sich da der aufwand lohnt, weiß ich nicht. http://verisign.com/

__________________

Und warum nicht? In der alten PHPlib (für PHP3) gab es sogar ein javascript, welches den MD5 Code berechnete, damit der Client beim Login das Paßwort nicht im Klartext verschickt.

Naja, wenn der PC in einem lokalen Netz ist (z.B. Firmennetzwerk) und der Angreifer zugriff auf die Switches (oder den Webproxy) dort hat, geht das z.B. auch.