Ich möchte gerne soetwas wie eine Registrierung basteln.
Das einfache speichern von dem Passwort als Klartext in die MySql ist glaub ich nicht so sicher oder????
Ist es da ratsam MD5 zu nehmen und wenn ja, wie kann ich es umwandeln/verwenden?

Ich möchte gerne soetwas wie eine Registrierung basteln.
Das einfache speichern von dem Passwort als Klartext in die MySql ist glaub ich nicht so sicher oder????
Ist es da ratsam MD5 zu nehmen und wenn ja, wie kann ich es umwandeln/verwenden?

Das ist sicherlich ratsam...

wie man es macht:
Funktion um String in MD5 umzuwandeln:
http://de2.php.net/manual/en/function.md5.php
MD5-Wert auf Datenbank speichern.
Beim nächsten Anmelden das übergebene Passwort in md5 umwandeln und vergleichen.

Bedenke aber, dass du das Passwort nicht wieder entschlüsseln kannst.

Bedenke aber, dass du das Passwort nicht wieder entschlüsseln kannst.

md5 ist klug. auf die selbe frage kommt immer die selbe antwort

Wichtiger ist IMO die Passwörter nicht als Plaintext durchs Internet zu senden.

Wichtiger ist IMO die Passwörter nicht als Plaintext durchs Internet zu senden.

Und wie könnte man das machen (http protokoll)

mfg Kinman

Und wie könnte man das machen (http protokoll)

mfg Kinman

Verbindungssicherung über HTTPS:
Dafür muss aber dein Webserver https://www.... unterstützen.

Grüße
Andreas

Und wie könnte man das machen (http protokoll)

mfg Kinman
Ich glaube man könnte es auch so machen, dass man das Passwort vor dem versenden mittels JavaScript codiert.

Ich glaube man könnte es auch so machen, dass man das Passwort vor dem versenden mittels JavaScript codiert.

Bringt nichts gegen Leute die im Netzwerk mitschnüffeln.

Verbindungssicherung über HTTPS:
Dafür muss aber dein Webserver https://www.... unterstützen.

Grüße
Andreas

Das es mit https geht ist mir völlig klar ;) Deshalb hab ich auch geschrieben, über http protokoll ;)
Und warum sollte js nicht helfen (vorrausgesetzt es ist immer aktiviert)?
Es läuft ja völlig lokal ab.

mfg Kinman


EDIT: Man könnte auch ein htaccess geschütztes verzeichnis mit base64 encoding erstellen :D

Wenn man mithört hat man das verschlüsselte Passwort, den Verschlüsslungsalgorithmus und den Schlüssel.

hehe stimmt, das js muss ja vorher gesendet werden... ich bin ja so doof :D

mfg Kinman

Wenn man mithört hat man das verschlüsselte Passwort, den Verschlüsslungsalgorithmus und den Schlüssel.
Wenn man einen Hashalgorithmus (wie MD5) implementiert, dann nützt das verschlüsselte Wort nichts, da man von diesem nicht auf das Ursprungswort schließen kann!
Ich weiß nur nicht wie aufwändig das ist ;-).

- Eth

Wenn man einen Hashalgorithmus (wie MD5) implementiert, dann nützt das verschlüsselte Wort nichts, da man von diesem nicht auf das Ursprungswort schließen kann!
Ich weiß nur nicht wie aufwändig das ist ;-).

- Eth

Also:
A.) Man nehme an es hört jemand mit: Person X
B.) Person Y ist in seinem Webbrowser und verschlüsselt sein Passwort via Javascript. Beispiel: "Apfel" wird "cosidjfiosjfhifuhfusffuhfuhfhr3uzr8f7zhq7f"
C.) Person Y schickt sein "cosidjfiosjfhifuhfusffuhfuhfhr3uzr8f7zhq7f" ins Netz
D.) Person X liest "cosidjfiosjfhifuhfusffuhfuhfhr3uzr8f7zhq7f"... und kennt somit das Passwort, welches der Server erwartet. Er kennt zwar das Passwort Apfel nicht, aber das hat in diesem Kontext sowieso keine Bedeutung ;-)

Das habe ich doch glatt übersehen....

Bleibt noch eine public-Key-Verschlüsselung per JavaScript, aber ob das praktikabel ist?
Dann odhc lieber https fahren, obwohl es da imho auch möglichkeiten gibt die Sitzung zu belauschen, oder?

- Eth

Das habe ich doch glatt übersehen....

Bleibt noch eine public-Key-Verschlüsselung per JavaScript, aber ob das praktikabel ist?

- Eth

Wenn es sicher sein muss ist Verbindungssicherung auf Datenebene der einzige Weg.... da gibt es viele Möglichkeiten... HTTPS, SSH, VPN, ....

Bei https bringt das belauschen nichts.

Grüße
Andreas

Bleibt noch eine public-Key-Verschlüsselung per JavaScript, aber ob das praktikabel ist?

mmh... das ist wahrhaftig eine Idee: Darauf bin ich nicht gekommen.

Die Frage ist nur, ob Javascript so etwas schnell genug machen kann: Ich teste das morgen mal in der Mittagspause.

tschö
Andreas

Andere Frage, wo ist das Problem mit https?

X-D ist es möglich, daß ihr hier völlig übertreibt?

Verschlüsselte Datenübertragung... vermutlich geht's um Kommentare in einem Blog oder sowas.

X-D ist es möglich, daß ihr hier völlig übertreibt?

Verschlüsselte Datenübertragung... vermutlich geht's um Kommentare in einem Blog oder sowas.

hihi, gut möglich.... aber, wie auch immer: http://shop-js.sourceforge.net/crypto2.htm zeigt ein Beispiel für Verschlüsselung via javascript.

ciau
Andreas

X-D ist es möglich, daß ihr hier völlig übertreibt?

Verschlüsselte Datenübertragung... vermutlich geht's um Kommentare in einem Blog oder sowas.
:wayne:, ccc verschlüsselt z.B. grundsätzlich auch allen Traffic.
I might not agree with your opinion but I will fight for your right to encrypt it. X-D