Seite 1 von 2
Teil der URL "verschlüsseln"
Verfasst: 27.01.2007 13:59
von FCM
Hallo,
ich habe mir einen Loginbreich gebastelt, welcher über die GET-Variable läuft. Wenn man eingeloggt ist, sieht die URL folgendermaßen aus:
http://***.**/index2.php?username=MAX&password=BEISPIEL
Ich will aber, dass das Passwort in MD5 verschlüsselt in der URL auftritt, sonst kann es jeder sehen:
http://***.**/index2.php?username=MAX&password=7f41ac1d20d3f484bb67999dd2c7e1fd
Das Passwort soll aber
BEISPIEL bleiben. Wie kann ich das realisieren?
Verfasst: 27.01.2007 15:03
von BB-BF-BM
wenn man es sehen und selbst entschlüsseln kann, ist die idee irgendwie schwachsinnig, wenn ich das mal so grob formulieren darf...
da ist es dann egal, ob da das Passwort in Klartext steht, oder mit einem einfachen Verfahren verschlüsselt, welches man auch wieder entschlüsseln kann...
Verfasst: 27.01.2007 15:08
von ShateHunter
Wieso machst du das ganze nicht per $_POST?
Verfasst: 27.01.2007 15:24
von FCM
ShateHunter hat geschrieben:Wieso machst du das ganze nicht per $_POST?
Das läuft über mehrere Seiten. Sonst hätt ich es eh über $_POST gemacht. Aber vielleicht mach ich das mit einer Session.
Verfasst: 27.01.2007 15:42
von S2B
FCM hat geschrieben:Aber vielleicht mach ich das mit einer Session.
Sicher machst du das mit einer Session, das andere wäre alles andere als sicher.
Verfasst: 27.01.2007 16:56
von Xwitz
@ FCM, seit ich mich mit php beschäftige habe ich an mindestens fünf verschiedenen Stellen gelesen, daß man Paßwörter nicht über die URL übergeben soll (was auch jedem einleuchten sollte). Wenn aber sogar Anbieter wie kasserver.com (all-inkl) ihren Kunden solche Webapplikationen zur Nutzung anbieten, darf man sich vermutlich nicht wundern, wenn das nachgemacht wird.
BB-BF-BM hat geschrieben:da ist es dann egal, ob da das Passwort in Klartext steht, oder mit einem einfachen Verfahren verschlüsselt, welches man auch wieder entschlüsseln kann...
Wozu entschlüsseln? Wenn das Paßwort verschlüsselt akzeptiert wird, dann kann (muß) man es in verschlüsselter Form senden.
FCM hat geschrieben:ShateHunter hat geschrieben:Wieso machst du das ganze nicht per $_POST?
Das läuft über mehrere Seiten. Sonst hätt ich es eh über $_POST gemacht. Aber vielleicht mach ich das mit einer Session.
Na und? Man kann die Variable abfragen und auf der nächsten Seite in einem hidden-Formularfeld wieder mit übergeben. Das ist aber auch nicht viel sicherer als per url.
Verfasst: 28.01.2007 09:47
von FCM
Ich hab das jetzt mit einer Session gemacht. Wie soll man das abfangen können? Also wenn man die .php-Datei irgendwie stiehlt (soll ja gehen) kann man damit nix anfangen da das Passwort dort drinnen nur MD5 verschlüsselt steht. Das mit $_GET weiterzugeben war eh ein Unsinn
Mit $_POST er wäre nämlich etwas nicht gegangen. Aber mit der Session geht das jetzt wunderbar.
Verfasst: 28.01.2007 11:54
von larsneo
Ich hab das jetzt mit einer Session gemacht. Wie soll man das abfangen können?
z.b. via
session fixation oder auch
session hijacking
Verfasst: 09.02.2007 17:14
von FCM
Also das wird schwierig bei mir denk ich
Bei mir gibt es keine ID's oder so. Der Username und das Passwort werden in den Cookies verschlüsselt gespeichert. Dann wird auf jeder Seite abgefragt, ob diese Session mit diesen Werten existiert.
Verfasst: 09.02.2007 19:52
von larsneo
warum speicherst du dann nicht die session in der datenbank und verifizierst dagegen die keks-session um den benutzer zu authentifizieren?
benutzernamen und insbesondere kennwörter haben vom sicherheitsstandpunkt her im keks nix verloren