Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] Verschlüsselung von "festem" Passwort

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] Verschlüsselung von "festem" Passwort

    Hi,
    ich habe für meinen Onlineshop für die Kreditkartenabwicklung über den Server einer Bank einen Persönlichen Schlüssel bekommen. Diesen muss ich bei jeder abwicklung mittels POST variable mitsenden.

    Meine Frage:

    Nun kann ich den Schlüssel doch nicht einfach in meinen PHP code reinschreiben und gut oder? Ich muss ihn doch verschlüsseln?

    Mein Onlineshop läuft bereits auf SSL, aber irgendwie ist es mir suspekt, meinen supergeheimen persönlichen Schlüssel einfach offen in den Code zu schreiben.

    Andererseits, kommt ja keiner an die PHP datei in meinem Webspace - und SSL sollte für sicherheit bei dem senden der daten sorgen.

    Aber ich frage lieber mal euch profis

  • #2
    Leider habe ich keine Ahnung von online-Abwicklung, aber da das ganze über SSL läuft sollte das eigentlich sicher sein. An deinen PHP-Code kommen normalerweise sowieso nur die Entwickler ran, daher sollte es eigentlich kein Problem sein, diesen in den Code reinzu schreiben.
    "My software never has bugs, it just develops random features."
    "Real programmers don't comment. If it was hard to write, it should be hard to understand!"

    Kommentar


    • #3
      wenn du den schlüssel per post mitsendest, kann ihn zumindest der client der die aktion angestoßen hat, den schlüssel im klartext lesen
      Under Construktion

      Kommentar


      • #4
        Beschreibe bitte mal etwas genauer, wie dieser Schlüssel zum Einsatz kommt, weil ich davon noch nie etwas gehört habe.

        Grundsätzlich gibt es viele Methoden um den Schlüssel abzusichern, aber wie sinnvoll das ist, kommt auf den Anwendungsfall an...

        Kommentar


        • #5
          und wie umgehe ich das?

          ich meine - der server erwartet ja diesen bestimmten string.

          Kommentar


          • #6
            Zitat von Sirke Beitrag anzeigen
            Beschreibe bitte mal etwas genauer, wie dieser Schlüssel zum Einsatz kommt, weil ich davon noch nie etwas gehört habe.

            Grundsätzlich gibt es viele Methoden um den Schlüssel abzusichern, aber wie sinnvoll das ist, kommt auf den Anwendungsfall an...
            er dient quasi als identifikation für mich. der server der bank erwartet diesen schlüssel so wie ich ihn von denen bekommen habe als klartext, ich kann den nicht einfach verschlüsselt senden usw, weil der server ja etwas anderes erwartet.

            Kommentar


            • #7
              Es gibt sogenannte "Challenging" Verfahren, um keine Schlüssel oder Passwörter übertragen zu müssen. Das die sensiblen Informationen auf dem Client vorliegen müssen ist aber leider unabdingbar.

              Beispiel:
              CHAP - Challenge Handshake Authentication Protocol
              Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

              Kommentar


              • #8
                Eine Alternative wäre nicht direkt das Formular an den Bankserver zu senden sondern via PHP selbst einen Http Request anzustoßen.

                Das sähe dann so aus das du dein Formuzlar an eine PHP-Datei von dir schickst, hängst den Schlüssel der Bank an und startest deinerseits im Script einen eigenen HTTP Request an den Bankserver.

                So befindet sich dein Schlüssen nur in deiner PHP-Datei und wird nicht an den Browser gesendet sondern nur von deinem Server an die Bank.
                "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

                Kommentar


                • #9
                  ahaa okay - so werd ich es probieren

                  vielen dank für die vielen und schnellen antworten

                  Kommentar


                  • #10
                    ...aber bekommt man dann nicht u.U. Probleme mit TLS und/oder wenn nach dem Request noch weitere Aktionen vom Benutzer benötigt werden. Ich denke da z.B. auch an Bestätigung der Echtheit des Servers wenn man an MITM denkt...

                    Aus dem Grund hatte ich gefragt, wann und wie genau dieses Szenario passiert und wer das z.B. ausführt!?

                    Kommentar


                    • #11
                      Sag mal Agassiz, so wies aussiehst hast du keine Ahnung was du technisch da umsetzen möchtest. Meinst du nicht dass es extrem gefährlich ist mit deinen Bankdaten zu spielen? Stell dir vor du machst etwas falsch, so wie du jetzt schon davon ausgegangen bist, dann kanns mal ganz schnell Probleme mit deinem Konto geben. Ich denke damit ist nicht zu Scherzen.

                      Ich würd mir an deiner Stelle nen Profi besorgen, denn wenns um Finanzen geht kannst du dir keinen Fehler leisten.

                      Kommentar

                      Lädt...
                      X