URL: https://www.overclockers.at/coding-stuff/login_fuer_webseite_56528/page_1 - zur Vollversion wechseln!
Bin grade dabei einen Login für eine Webseite zu coden.
Will dabei aber kein htaccess sondern eine MySQL DB und ein normales Formular (so wie hier bei oc.at) verwenden.
Meine Frage nun: wie kann ich vor dem Verschicken daß Paßwort entweder versteckt wird oder gleich vor dem Verschicken per Crypt verschlüsselt wird?
Wie sicher ist das Ganze gegen Manipulationen?
Ich möchte außerdem anschließend das Paßwort und den Usernamen per Cookie speichern, so daß man sich nicht immer wieder neu anmelden muß. Die Rechner werden im Großen und Ganzen immer mit den selben Usern/Berechtigungsstufen bleiben, nur auf IP-Adressen kann ich wegen einer Firewall nicht filtern
vorm verschickem mit javascript (<form onsubmit="..." ...> hashen.
md5 mit javascript:
http://selfaktuell.teamone.de/artikel/javascript/md5/
http://pajhome.org.uk/crypt/md5/
allerdings könnte jemand den hash abfangen und weiterbenutzen, weshalb ich ein chellange-resoponse verfahren vorschlage, in dem du mit dem login-form und dem js ein one-time-hash mitschickst, der mit dem passwort mitkodiert wird.
perfet ist die lösung nicht, aber noch ziemlich einfach für den erzielten effekt.
Gibts auch eine andere Möglichkeit? Das Script schaut mir doch etwas aufwendiger aus...
fuern transfer ssl
und lokal sie irgendwie verschleiern (zb base64) oder md5 summen direkt am client machen
Ist die Verschlüsselung VOR dem submit wirklich nötig? Ich glaub nicht dass es ein "Freizeit"-Cracker schafft, die Daten abzufangen und wenn doch, ist er schon so weit bewandert, dass er auch eine andere Verschlüsselung knacken würde
Die ganzen Foren verschicken afaik auch Klartext.
Aber sonst, as funka said: SSL+js ist glaub ich am einfachsten dafür.
Nachdem bekannte Verschlüsselungsverfahren keine bekannten Schwachstellen haben, halte ich die Aussage für übermütig.
Hab mich falsch ausgedrückt - nicht die Verschlüsselung ist die Schwachstelle, aber zumindest der Weg zu der Verschlüsselung - auch clientseitig imo, da js-Code ja einfach sichtbar ist.
Das ist sehr richtig.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025