[Erledigt] POST-Variablen vorm Absenden verschlüsseln

sentropie · 07.08.2010, 14:52

Hallo,

ich habe eine Frage bezüglich der Sicherheit von POST-Variablen. Und zwar schreibe ich momentan ein Login-Script. Nun kann ich Passwörter mit md5 verschlüsseln, jedoch setzt das ja erst nach dem Absenden an. Man kann die Headerinformationen und somit die POST-Variablen einschließlich "Nutzereingabe Passwort" relativ einfach auslesen.

Als Ausweg fällt mir nur ein, mittels JavaScript vor dem Abschicken zu verschlüsseln. Gibt es da eventuell noch bessere Methoden?

Viele Grüße,
sentropie

Asipak · 07.08.2010, 14:56

Moin,

Transport Layer Security – Wikipedia

Flor1an · 07.08.2010, 15:00

Was Asipak da geschrieben hat heißt für dich einfach das die HTTP Verbindung über SSL verschlüsselt wird (HTTPS). Das ist von deine PHP Anwendung unabhängig, betrifft also nur die Übertragung vom Browser zum Server. Dies ist Standard für die sichere Datenübertragung.

Und als Nachtrag: md5 ist KEINE Verschlüsselung -> siehe Hash.

sentropie · 07.08.2010, 15:13

Zunächst danke für die Antworten. Dazu eine Verständnisfrage:

Für SSL benötigt man einen Server, der dies unterstützt. Nun ist es in den meisten Foren so, dass SSL ausgeschaltet ist (zumindest kann ich mich an kein Forum erinnern, wo ich https gesehen habe). Im Prinzip sind die also alle unsicher? Oder macht sich einfach nur niemand/kaum jemand die Mühe, fremde Header in Foren (wo ja eher selten überwichtige Daten zu erwarten sind) auszulesen?

Flor1an · 07.08.2010, 15:16

Wird kein SSL verwendet ist die Übertragung der Daten über HTTP unsicher, das ist richtig.

Um diese Daten aber auslesen zu können musst du ja irgendwie zwischen dem Client und dem Server den Datentransfer mitschneiden. Ein Angreifer kann also nicht ohne weiteres von einem beliebigem User die Daten die über POST von diesem verschickt werden auslesen.

sentropie · 07.08.2010, 15:18

Damit gebe ich mich erstmal zufrieden

. Danke!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] RewriteRule killt die POST Variablen	eisenhans	PHP Tipps 2010	18	01.06.2010 22:09
Datei die man öffnet POST Variablen übergeben	hman13	PHP-Fortgeschrittene	18	15.02.2010 18:28
[Erledigt] Zwei Post Variablen vergleichen	enHanced	PHP Tipps 2010	4	31.01.2010 23:46
[Erledigt] Variablen mittels POST übergeben	pierrebln	PHP Tipps 2009	10	27.03.2009 09:21
mehre variablen per post übersenden	obi	HTML, Usability und Barrierefreiheit	5	19.07.2007 23:03
POST Variablen vortäschen	R4v3r	PHP Tipps 2007	8	22.12.2006 16:51
Alle Variablen die mit POST übergeben wurden auflisten	d-81	PHP Tipps 2006	3	12.10.2006 15:23
Variablen an include/require/readfile... per POST übergeben		PHP Tipps 2006	1	09.02.2006 18:38
Variablen über Post senden	FireFIghter	PHP Tipps 2005-2	2	06.09.2005 20:37
Variablen werden per post nicht übergeben	sinai	PHP Tipps 2005-2	9	12.08.2005 10:04
[Erledigt] Post Variablen absichern		PHP-Fortgeschrittene	10	20.04.2005 13:25
POST Variablen auf Gültigkeit prüfen	Ypsillon	PHP Tipps 2005	22	24.01.2005 21:59
post variablen vorgaukeln		PHP-Fortgeschrittene	4	11.01.2005 15:21
Variablen via POST	Skazi	PHP Tipps 2004-2	10	06.11.2004 17:31
Funktion die in Post Variablen speichert?		PHP Tipps 2004	15	05.07.2004 21:11

07.08.2010, 14:52
sentropie Neuer Benutzer Registriert seit: 29.06.2010 Beiträge: 3 PHP-Kenntnisse: Anfänger	[Erledigt] POST-Variablen vorm Absenden verschlüsseln Hallo, ich habe eine Frage bezüglich der Sicherheit von POST-Variablen. Und zwar schreibe ich momentan ein Login-Script. Nun kann ich Passwörter mit md5 verschlüsseln, jedoch setzt das ja erst nach dem Absenden an. Man kann die Headerinformationen und somit die POST-Variablen einschließlich "Nutzereingabe Passwort" relativ einfach auslesen. Als Ausweg fällt mir nur ein, mittels JavaScript vor dem Abschicken zu verschlüsseln. Gibt es da eventuell noch bessere Methoden? Viele Grüße, sentropie


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

07.08.2010, 14:56
Asipak Moderator Registriert seit: 18.07.2005 Beiträge: 4.072	Moin, Transport Layer Security – Wikipedia

07.08.2010, 15:00
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Was Asipak da geschrieben hat heißt für dich einfach das die HTTP Verbindung über SSL verschlüsselt wird (HTTPS). Das ist von deine PHP Anwendung unabhängig, betrifft also nur die Übertragung vom Browser zum Server. Dies ist Standard für die sichere Datenübertragung. Und als Nachtrag: md5 ist KEINE Verschlüsselung -> siehe Hash.

07.08.2010, 15:13
sentropie Neuer Benutzer Registriert seit: 29.06.2010 Beiträge: 3 PHP-Kenntnisse: Anfänger	Zunächst danke für die Antworten. Dazu eine Verständnisfrage: Für SSL benötigt man einen Server, der dies unterstützt. Nun ist es in den meisten Foren so, dass SSL ausgeschaltet ist (zumindest kann ich mich an kein Forum erinnern, wo ich https gesehen habe). Im Prinzip sind die also alle unsicher? Oder macht sich einfach nur niemand/kaum jemand die Mühe, fremde Header in Foren (wo ja eher selten überwichtige Daten zu erwarten sind) auszulesen?

07.08.2010, 15:16
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Wird kein SSL verwendet ist die Übertragung der Daten über HTTP unsicher, das ist richtig. Um diese Daten aber auslesen zu können musst du ja irgendwie zwischen dem Client und dem Server den Datentransfer mitschneiden. Ein Angreifer kann also nicht ohne weiteres von einem beliebigem User die Daten die über POST von diesem verschickt werden auslesen.

07.08.2010, 15:18
sentropie Neuer Benutzer Registriert seit: 29.06.2010 Beiträge: 3 PHP-Kenntnisse: Anfänger	Damit gebe ich mich erstmal zufrieden . Danke!