Der Blaue Gott Balmung

Hi,

Wie kann ich Passwörter verschlüsselt über JavaScript zu einer PHP Datei übertragen?
Brauche ich dazu einen SSL Tunnel oder kann ich
mir für diesen Zweck selber eine Funktion schreiben?
Die müsste auch eine Art Tunnel aufbauen.
Aber meine Scripte auf dem Server haben glaube ich
nur eine bestimmte Laufzeit.

Danke für eure Hilfe

Mister Ad

brian johnson

du wirst nicht an SSL vorbeikommen.

__________________
PHP4?!?>>>Aktuelle PHP Version: 5.2.11 || 5.3.0
Suse 11.2 *vorfreude*

nikosch

[OT]
Vielleicht hilft auch beten

Willkommen hier im Forum!

agrajag

Wenn du schon sagst: "per javascript an PHP" ist es auch denkbar das Passwort einfach auf Client-Seite per JavaScript zu hashen (md5 oder was weiß ich) und nur den Hash übers Netz zu schicken...
Natürlich ist das KEIN Ersatz für eine Verschlüsselung ... aber ein einfacher Weg Passwörter nicht im Klartext zu übertragen...

__________________
Today you...Tomorrow me.

Manko10

Du musst nur bedenken, dass es in JavaScript keine MD5-Hash-Funktion gibt. Den Algorithmus muss dann aus dem Internet geladen und in die Seite eingebaut werden (ich meine, bei SelfHTML gibt es ein Skript in JavaScript).
Meine Erfahrung mit JavaScript und MD5 ist aber, dass das Skript merklich langsam ist.

Broadcast

Hey,
also ich benutze schon seit langem eine Javascript Verschlüsselung für MD5, funzt super und ist schnell.

http://pajhome.org.uk/crypt/md5/

Machste dann einfach bei deinem Button, onSubmit und rufst die Funktion "md5()" auf. Das verschlüsselt dann deine Eingabe bevor diese gesendet wird. Funzt super bei mir!

Gruß, Broady

cycap

Da hatte wohl jemand langeweile... naja scheint jedenfalls zu funktionieren und schnell zu sein

Manko10

Mag auch sein, dass es nur die Skript-Ladezeit war. Du solltest daran denken, die Einbindung des Skripts im Footer der Seite zu machen. Ansonsten wird meist erst gewartet, bis das Skript geladen ist, bevor die Seite weiter aufgebaut wird.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Der Blaue Gott Balmung

Das Hashen des Passworts macht keinen Sinn wenn man sich mit dem Passwort-Hash einloggen kann, weil dieser Hash das Passwort repräsentiert und somit auch "Klartext" ist.

Slava

Ja, das hat kein Sinn.
Deshalb direkt auf SSL umsteigen.
sonnst, kannst du auch mit dem javascript ein umweg machen.
du setzt mit PHP eine Javascriptvariable mit einem Zufallswert
var zufall='<?php echo $_SESSION['zufallsstring']; ?>';
und lässt mit javascript beides verschlüsseln
javascript_md5(zufall+javascript_md5(password));

am server muss du jetzt das zu kontrollieren
if(md5($md5password_aus_db.$_SESSION['zufallsstring'])==$_POST['password']) echo 'Willkommen';

Diese vorgehensweise wird dem Lauscher zwischen dem Klient und Server die Möglichkeit klauen ein direkter Passwort zu bekommen und sich in Zukunft mit diesem Password anzumelden, Die Kommunikation zwischen dir und dem Server bleibt weiterhin dem Lauscher voll sichtbar, was natürlich weiter hin für SSL spricht, da SSL die ganze Kommunikation zwischen Klient und dem Server verschlüsselt und nicht nur die Passwörter

__________________
Slava
http://bituniverse.com