Ankündigung

Einklappen
Keine Ankündigung bisher.

PHP/MySQL Applikation & verschlüsselte Daten

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP/MySQL Applikation & verschlüsselte Daten

    Hallo zusammen!

    Ich möchte eine Applikation entwickeln, über die ich sensible Daten mittels AES Verschlüsselung in einer Datenbank ablegen kann.
    1. Für die Authentifikation muss neben Benutzername und Passwort auch der Schlüssel übergegeben werden. Serverseitig ist der Schlüssel in einer PHP-Konfigurationsdatei als Hash gespeichert und kann so dann mit dem beim Login übergebenen Schlüssel verglichen werden. Geht der Authentifikationsprozess soweit in Ordnung oder sollte man das anders gestalten?
    2. Wie sollte ich beim Lesen bzw. Schreiben von Daten auf den Schlüssel zugreifen? Sollte ich den Schlüssel nach erfolgreicher Authentifikation in der Benutzer-Session zwischenspeichern? Oder sollte ich die Applikation als Single-Page-Anwendung (vuejs oä.) gestalten, bei der ich den Schlüssel lokal im Browser hinterlege und dann bei einen Request an den Server übermittle? Oder sollte die Ver- & Entschlüsselung komplett Clientseitig erfolgen (zB mit sowas)?

    Mit freundlichen Grüßen

    Nipec

  • #2
    Aus der Sicht eines Users finde ich es immer besser, wenn clientseitig verschlüsselt wird. Wenn die Daten erst am Server verschlüsselt werden, was bringt das dann? Wird der Server gehackt, kann auch der Schlüssel abgegriffen werden und die Daten sind somit entschlüsselbar.

    Kommentar


    • #3
      Zitat von hellbringer Beitrag anzeigen
      Aus der Sicht eines Users finde ich es immer besser, wenn clientseitig verschlüsselt wird. Wenn die Daten erst am Server verschlüsselt werden, was bringt das dann? Wird der Server gehackt, kann auch der Schlüssel abgegriffen werden und die Daten sind somit entschlüsselbar.
      Stimmt, mich hat nur dieser Beitrag irritiert, wo nämlich empfohlen wurde, den Schlüssel in der Session zu hinterlegen. Wie siehts mit der Authentifikation aus - kann es irgendwelche Risiken bergen, wenn man den Schlüssel am Server als Hash speichert?

      Kommentar


      • #4
        Zitat von Nipec Beitrag anzeigen
        Stimmt, mich hat nur dieser Beitrag irritiert, wo nämlich empfohlen wurde, den Schlüssel in der Session zu hinterlegen. Wie siehts mit der Authentifikation aus - kann es irgendwelche Risiken bergen, wenn man den Schlüssel am Server als Hash speichert?
        ???
        Wie war das mit Inserate, Konzepte; Meinungsumfragen ?

        Handelt es sich wirklich um sensible Daten, ist auch zu überlegen wo (auf dem server - tempoörär - crypted keys und anders zeugs gespeichert wird.

        Ich halte ein verschlüsseln clientseitig nicht zwigned für notweding, wennn man dem Anbieter trauen kann; was dazu notwendig ist, geht aus dem post nicht hervor;
        ich verweise da üblicherweise auf lavabit.


        Kommentar

        Lädt...
        X