Ver- & Entschlüsseln

Epeios · 27.07.2008, 18:01

Hallo,
für wie Sicher haltet Ihr diese Methode?:

PHP-Code:

  <?php

$schluessel = md5('-benutzername-');

function verschluesseln($klartext, $schluessel)
{
    $geheimtext = "";
    for($i=0; $i<strlen($klartext);$i++)
    $geheimtext .= chr(ord($klartext{$i})^ord($schluessel{$i%strlen($schluessel)}));
    return base64_encode($geheimtext);
}

function entschluesseln($geheimtext, $schluessel)
{
    $geheimtext = base64_decode($geheimtext);
    $klartext = "";
    for($i=0; $i<strlen($geheimtext);$i++)
    $klartext .= chr(ord($geheimtext{$i})^ord($schluessel{$i%strlen($schluessel)}));
    return $klartext;
}

if (isset($_POST['bt1']))
{
    $text = verschluesseln($_POST['tb1'],$schluessel);
}

if (isset($_POST['bt2']))
{
    $text =  entschluesseln($_POST['tb1'],$schluessel);
}

?>

<form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>">
<input type="text" name="tb1" /><br />
<input type="submit" name="bt1" value="verschluesseln" />
<input type="submit" name="bt2" value="entschluesseln" />
<br />
<?php echo $text; ?>
</form>

Gruß

EDIT: Die Funktionen sind nicht von mir. Habe sie im Netz gefunden....

nikosch · 27.07.2008, 18:26

Stichwort 'security by obscurity'. Ergo: Vorher NULL Sicherheit, jetzt erst recht. Wozu der Aufwand?

Epeios · 27.07.2008, 18:43

vorab:
ich weiß, das diese Methode nicht zum verschlüsseln von Passworten geeignet ist.

Dennoch das Beispiel
Der Benutzer hat sein Passwort vergessen. Mit deinem Benutzernamen wäre es nun möglich das Passwort als email zu zuschicken.

nikosch · 27.07.2008, 18:44

Zitat:

ich weiß, das diese Methode nicht zum verschlüsseln von Passworten geeignet ist.

Zitat:

Der Benutzer hat sein Passwort vergessen. Mit deinem Benutzernamen wäre es nun möglich das Passwort als email zu zuschicken.

Imho widersprüchlich.

Epeios · 27.07.2008, 18:49

es war ein Beispiel...

nikosch · 27.07.2008, 19:08

Dann mach doch mal ein sinnvolles Beispiel. Wozu soll man sonst darüber diskutieren?!

Epeios · 27.07.2008, 19:42

Ich wollte keine Disussion lostreten.
Ich bin Neuling und wollte wissen wie sicher das ist.

Also folgender Hintergrund:
Die Benutzer bekommen auf dem Server ein eigenes Verzeichniss. Diese sollen nicht in Klartext da stehen. Ich als Admin muss aber erkennen welches Verzeichnis zu welchem Benuzter gehört. Also muss ich den "verschlüsselten" Verzeichnissnamen wieder entschlüsseln.

nikosch · 27.07.2008, 19:58

Erzeuge für jeden Nutzer einen zufälligen md5 Hash, schreib den in die Datenbank zusammen mit dem Nutzernamen (oder nutze gleich den md5 des Nutzernamens), schon hast Du die Zuordnung.

Flor1an · 27.07.2008, 20:31

Richtig. Einen eindeutigen Hash könntest du erstellen. Z.B. aus der UserID die müsste ja eindeutig sein.

Epeios · 27.07.2008, 21:54

Ihr habt recht.
Ich hab mich da in was verrannt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

27.07.2008, 18:01
Epeios Neuer Benutzer Registriert seit: 15.07.2008 Beiträge: 9	Ver- & Entschlüsseln Hallo, für wie Sicher haltet Ihr diese Methode?: PHP-Code: <?php $schluessel = md5('-benutzername-'); function verschluesseln($klartext, $schluessel) { $geheimtext = ""; for($i=0; $i<strlen($klartext);$i++) $geheimtext .= chr(ord($klartext{$i})^ord($schluessel{$i%strlen($schluessel)})); return base64_encode($geheimtext); } function entschluesseln($geheimtext, $schluessel) { $geheimtext = base64_decode($geheimtext); $klartext = ""; for($i=0; $i<strlen($geheimtext);$i++) $klartext .= chr(ord($geheimtext{$i})^ord($schluessel{$i%strlen($schluessel)})); return $klartext; } if (isset($_POST['bt1'])) { $text = verschluesseln($_POST['tb1'],$schluessel); } if (isset($_POST['bt2'])) { $text = entschluesseln($_POST['tb1'],$schluessel); } ?> <form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>"> <input type="text" name="tb1" /><br /> <input type="submit" name="bt1" value="verschluesseln" /> <input type="submit" name="bt2" value="entschluesseln" /> <br /> <?php echo $text; ?> </form> Gruß EDIT: Die Funktionen sind nicht von mir. Habe sie im Netz gefunden.... __________________ gegoogelt hab' ich schon! Geändert von Epeios (27.07.2008 um 18:03 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.07.2008, 18:26
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Stichwort 'security by obscurity'. Ergo: Vorher NULL Sicherheit, jetzt erst recht. Wozu der Aufwand? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.07.2008, 18:43
Epeios Neuer Benutzer Registriert seit: 15.07.2008 Beiträge: 9	vorab: ich weiß, das diese Methode nicht zum verschlüsseln von Passworten geeignet ist. Dennoch das Beispiel Der Benutzer hat sein Passwort vergessen. Mit deinem Benutzernamen wäre es nun möglich das Passwort als email zu zuschicken. __________________ gegoogelt hab' ich schon!

27.07.2008, 18:49
Epeios Neuer Benutzer Registriert seit: 15.07.2008 Beiträge: 9	es war ein Beispiel... __________________ gegoogelt hab' ich schon!

27.07.2008, 19:08
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Dann mach doch mal ein sinnvolles Beispiel. Wozu soll man sonst darüber diskutieren?! __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.07.2008, 19:42
Epeios Neuer Benutzer Registriert seit: 15.07.2008 Beiträge: 9	Ich wollte keine Disussion lostreten. Ich bin Neuling und wollte wissen wie sicher das ist. Also folgender Hintergrund: Die Benutzer bekommen auf dem Server ein eigenes Verzeichniss. Diese sollen nicht in Klartext da stehen. Ich als Admin muss aber erkennen welches Verzeichnis zu welchem Benuzter gehört. Also muss ich den "verschlüsselten" Verzeichnissnamen wieder entschlüsseln. __________________ gegoogelt hab' ich schon!

27.07.2008, 19:58
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Erzeuge für jeden Nutzer einen zufälligen md5 Hash, schreib den in die Datenbank zusammen mit dem Nutzernamen (oder nutze gleich den md5 des Nutzernamens), schon hast Du die Zuordnung. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.07.2008, 20:31
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Richtig. Einen eindeutigen Hash könntest du erstellen. Z.B. aus der UserID die müsste ja eindeutig sein.

27.07.2008, 21:54
Epeios Neuer Benutzer Registriert seit: 15.07.2008 Beiträge: 9	Ihr habt recht. Ich hab mich da in was verrannt. __________________ gegoogelt hab' ich schon!