phpBB.de

Hallo,

ich habe auf diese Frage trotz Suche in google und hier im Forum keine richtige Antwort gefunden.
Wenn ich ein phpBB3 aufsetze und die Übertragung der Seite nicht mit SSL verschlüssele, werden die Passwörter der Benutzer dann im Klartext übertragen? Es gibt ja zb. für die .htacces vom Apache einmal AuthType Digest und einmal AuthType Basic, letztes ist unsicher, erstes überträgt das Passwort sicher als Hash (soweit ich das verstanden habe). Wie schaut das bei phpBB3 aus?

Hallo,

Schau mal hier Verschlüsselung der Passwörter bei phpBB

Grüße

Entschuldige die Gegenfrage: Welchen Sinn hat einen Digest Legitimation, wenn die nachfolgende Kommunikation doch immer noch unverschlüsselt erfolgt?

Soweit ich weiß, bezieht sich dieses Apache digest Authentication auf den Verzeichnisschutz. Willst Du Dein phpBB3 Verzeichnis mit .htaccess schützen, so wie es hier versucht wurde?

Naja um zumindest ein ausspionieren der Passwörter zu verhindern kann eine verschlüsselte Passwortübertragung schon sinnvoll sein. Zu phpbb 2 Zeiten habe ich auch einen Mod gesehen, mit dem vor der Übertragung des Passworts dieses mit Salt und MD5 übertragen wurde und im Prinzip per Challenge + Response das Passwort gegen ausspähen gesichert hat. Ob jemand sowas für phpBB 3 auch gebaut hat weiß ich aber nicht.

gn#36 hat geschrieben:Naja um zumindest ein ausspionieren der Passwörter zu verhindern kann eine verschlüsselte Passwortübertragung schon sinnvoll sein. Zu phpbb 2 Zeiten habe ich auch einen Mod gesehen, mit dem vor der Übertragung des Passworts dieses mit Salt und MD5 übertragen wurde und im Prinzip per Challenge + Response das Passwort gegen ausspähen gesichert hat. Ob jemand sowas für phpBB 3 auch gebaut hat weiß ich aber nicht.

Genau darum gehts mir. Ob so ein Text hier nun verschlüsselt übers Internet geschickt wird oder nicht ist mir egal, bei den Passwörtern der Benutzer ist es das nicht. Man denke nur mal an ein öffentliches W-LAN, wo jeder den Traffic abhören kann, da wären die Passwörter schnell mitgeschnitten.

Der obige Link https://www.phpbb.de/kb/md5 ist zwar interessant, sagt aber soweit ich das verstehe nichts über diesen Punkt aus, ob das Passwort der Benutzer mit Hashwert oder ohne SSL im Klartext übermittelt wird.

Ich wollte mir eigentlich die Arbeit sparen, noch ein SSL-Zertifikat bei startcom.org zu holen (ganz zu schweigen davon, dass ich nicht weiß wieviel man davon kostenlos bekommen kann) wenn es ohne auch sicher ist. So wie ich das verstanden habe, werden Passwörter aber doch im Klartext übertragen, also geht kein Weg an SSL vorbei.

Danke für Eure Antworten.

BurtGummer hat geschrieben:Der obige Link https://www.phpbb.de/kb/md5 ist zwar interessant, sagt aber soweit ich das verstehe nichts über diesen Punkt aus, ob das Passwort der Benutzer mit Hashwert oder ohne SSL im Klartext übermittelt wird.

Da geht es um die Verschlüsselung in der Datenbank, die Übertragung (vom User - also aus dem Browser - zum Server - DB) hat damit nichts zu tun. Es geht da nur um die Art der Speicherung/Hinterlegung in der DB.

Wenn du eine sicher Übertragung des Passwortes willst, ist SSL sicherlich empfehlenswert.
Allerdings soll es wohl auch per Javascript möglich sein ein Passwort verschlüsselt zu versenden - sprich das Script verschlüsselt das eingebene Passwort vor dem Absenden an den Server. ( http://pajhome.org.uk/crypt/md5/ )
Aber als einen sicheren SSL Ersatz kann ich mir das auch nicht vorstellen, denn auch mit einem geHash-ten Passwort kann man sich am Ende einloggen - daher ist SSL-Verschlüsselung immernoch sinnvoller.

Es gibt z.B. das Diffie-Hellman Verfahren, mit dem man trotz unsicherer Verbindung einen Schlüssel erzeugen kann, den dann nur beide Seiten kennen. Sowas könnte man auch für die Mitteilung des Passworts verwenden, egal ob es nun in den Schlüssel eingebaut wird oder erst ein Schlüssel erzeugt wird und das Passwort dann anschließend verschlüsselt übertragen wird.

Aber: Für dich einfacher wäre sicherlich, ein SSL Zertifikat zu besorgen, ich wüsste jedenfalls keinen Mod der das Implementiert...