Teil der URL "verschlüsseln"

FCM · Beitrag von **FCM** » 27.01.2007 13:59

Hallo,

ich habe mir einen Loginbreich gebastelt, welcher über die GET-Variable läuft. Wenn man eingeloggt ist, sieht die URL folgendermaßen aus:

http://***.**/index2.php?username=MAX&password=BEISPIEL

Ich will aber, dass das Passwort in MD5 verschlüsselt in der URL auftritt, sonst kann es jeder sehen:

http://***.**/index2.php?username=MAX&password=7f41ac1d20d3f484bb67999dd2c7e1fd

Das Passwort soll aber BEISPIEL bleiben. Wie kann ich das realisieren?

BB-BF-BM · Beitrag von **BB-BF-BM** » 27.01.2007 15:03

wenn man es sehen und selbst entschlüsseln kann, ist die idee irgendwie schwachsinnig, wenn ich das mal so grob formulieren darf...

da ist es dann egal, ob da das Passwort in Klartext steht, oder mit einem einfachen Verfahren verschlüsselt, welches man auch wieder entschlüsseln kann...

ShateHunter · Beitrag von **ShateHunter** » 27.01.2007 15:08

Wieso machst du das ganze nicht per $_POST?

FCM · Beitrag von **FCM** » 27.01.2007 15:24

ShateHunter hat geschrieben:Wieso machst du das ganze nicht per $_POST?

Das läuft über mehrere Seiten. Sonst hätt ich es eh über $_POST gemacht. Aber vielleicht mach ich das mit einer Session.

Beitrag von **S2B** » 27.01.2007 15:42

FCM hat geschrieben:Aber vielleicht mach ich das mit einer Session.

Sicher machst du das mit einer Session, das andere wäre alles andere als sicher.

Xwitz · Beitrag von **Xwitz** » 27.01.2007 16:56

@ FCM, seit ich mich mit php beschäftige habe ich an mindestens fünf verschiedenen Stellen gelesen, daß man Paßwörter nicht über die URL übergeben soll (was auch jedem einleuchten sollte). Wenn aber sogar Anbieter wie kasserver.com (all-inkl) ihren Kunden solche Webapplikationen zur Nutzung anbieten, darf man sich vermutlich nicht wundern, wenn das nachgemacht wird.

BB-BF-BM hat geschrieben:da ist es dann egal, ob da das Passwort in Klartext steht, oder mit einem einfachen Verfahren verschlüsselt, welches man auch wieder entschlüsseln kann...

Wozu entschlüsseln? Wenn das Paßwort verschlüsselt akzeptiert wird, dann kann (muß) man es in verschlüsselter Form senden.

FCM hat geschrieben:
ShateHunter hat geschrieben:Wieso machst du das ganze nicht per $_POST?
Das läuft über mehrere Seiten. Sonst hätt ich es eh über $_POST gemacht. Aber vielleicht mach ich das mit einer Session.

Na und? Man kann die Variable abfragen und auf der nächsten Seite in einem hidden-Formularfeld wieder mit übergeben. Das ist aber auch nicht viel sicherer als per url.

FCM · Beitrag von **FCM** » 28.01.2007 09:47

Ich hab das jetzt mit einer Session gemacht. Wie soll man das abfangen können? Also wenn man die .php-Datei irgendwie stiehlt (soll ja gehen) kann man damit nix anfangen da das Passwort dort drinnen nur MD5 verschlüsselt steht. Das mit $_GET weiterzugeben war eh ein Unsinn

Mit $_POST er wäre nämlich etwas nicht gegangen. Aber mit der Session geht das jetzt wunderbar.

larsneo · Beitrag von **larsneo** » 28.01.2007 11:54

Ich hab das jetzt mit einer Session gemacht. Wie soll man das abfangen können?

z.b. via session fixation oder auch session hijacking

FCM · Beitrag von **FCM** » 09.02.2007 17:14

Also das wird schwierig bei mir denk ich

Bei mir gibt es keine ID's oder so. Der Username und das Passwort werden in den Cookies verschlüsselt gespeichert. Dann wird auf jeder Seite abgefragt, ob diese Session mit diesen Werten existiert.

larsneo · Beitrag von **larsneo** » 09.02.2007 19:52

warum speicherst du dann nicht die session in der datenbank und verifizierst dagegen die keks-session um den benutzer zu authentifizieren?
benutzernamen und insbesondere kennwörter haben vom sicherheitsstandpunkt her im keks nix verloren