phpBB.de

Hallo,

ich bin ratlos bisher, auf diesem Gebiet...
Natürlich sichere ich die Verbindung mit SSL,
dennoch, ist es mir nicht möglich herauszufinden,
wie ich Kredikartennummern, sicher speichern könnte,
dies sollte aufjeden fall in eine MySQL DB geschehen...

Außerdem wäre es interessant zu wissen, ob ich mittels PHP
herausfinden könnte, ob sich auf dem Server SSL ausführen lässt...

Vielen Dank!
SR1989

Ein zentrales Element ist sicherlich ein vertrauenswürdiger Hoster, ansonsten wirst du sicherlich nicht um eine Verschlüsselungsfunktion wie http://de3.php.net/mcrypt rumkommen - allerdings gibt's dazu immer auch den Gegenschlüssel...

Gruß, Philipp

Wenn Du sagst dass es immer einen Gegenschlüssel gibt,
kannst Du mir den von der Funktion "md5()" verraten?

Denn würde ich gerne wissen!

Olli2 hat geschrieben:Wenn Du sagst dass es immer einen Gegenschlüssel gibt,
kannst Du mir den von der Funktion "md5()" verraten?

Denn würde ich gerne wissen!

Die md5() ist eine Einwegverschlüsselung. Sonst könnten ja Administratoren einfach die Verschlüsselung aus der DB nehmen und sie entschlüsseln, dann würde das nicht viel bringen.

Deine Frage beantwortet?

Mit freundlichen Grüßen,
Dani

Zu MD5: KB:md5

Die zentrale Frage ist immer, ob du den verschlüsselten Teil wieder in die Ursprungsnachricht zurückverwandeln können musst oder nicht. Bei 'nem Passwort ist das nicht der Fall (es reicht aus, zwei verschlüsselte Passwörter zu vergleichen) - aber die Kreditkartennummer solltest du eben schon wieder in Klartext haben - zumindest dann, wenn du die Kohle auch abbuchen willst

Gruß, Philipp

DaniM hat geschrieben:Die md5() ist eine Einwegverschlüsselung. Sonst könnten ja Administratoren einfach die Verschlüsselung aus der DB nehmen und sie entschlüsseln, dann würde das nicht viel bringen.

Deine Frage beantwortet?

Genau deswegen hatte ich gefragt...

Vielleicht hat ja da schon jemand ne Schwachstelle gefunden,
und ich weiss das noch nicht... oh Graus.

Bei den Kreditkartennummern muss man dann wohl einen eigenen Verschlüsselungs-Code schreiben, den kein anderer kennt, dass wäre erstmal ein Alternativ-Lösung oder?

Olli2 hat geschrieben:

DaniM hat geschrieben:Die md5() ist eine Einwegverschlüsselung. Sonst könnten ja Administratoren einfach die Verschlüsselung aus der DB nehmen und sie entschlüsseln, dann würde das nicht viel bringen.

Deine Frage beantwortet?

Genau deswegen hatte ich gefragt...

Vielleicht hat ja da schon jemand ne Schwachstelle gefunden,
und ich weiss das noch nicht... oh Graus.

Bei den Kreditkartennummern muss man dann wohl einen eigenen Verschlüsselungs-Code schreiben, den kein anderer kennt, dass wäre erstmal ein Alternativ-Lösung oder?

Sicher, vor allem wenn du den verschlüsselten Code nochmals verschlüsselst und dann nochmals. Dann haste was schönes zusammen, brauchst wie du schon gesagt hast nur noch ne Funktion die das wieder rückgängig macht

Mit freundlichen Grüßen,
Dani

Das Ideale wäre da ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Mit dem öffentlichen wird's verschlüsselt - und nur mit dem privaten kann es gelesen werden. Da der private nicht auf dem Web-System vorhanden sein muss, wäre dieses Risiko dann ausgeschlossen.

Gruß, Philipp

Wie funktioniert dann sowas bei Amazon z.B.?
Ich meine mir geht's hier um die solideste Lösung die sich finden lässt,
ich danke natürlich für dich sofortige Anwort...
Machen die "Grossen" das auch so!?

Olli2 hat geschrieben:Wenn Du sagst dass es immer einen Gegenschlüssel gibt,
kannst Du mir den von der Funktion "md5()" verraten?

mit ein 'bisschen' aufwand: http://md5crk.com/

wenn du kreditkarten-nummern speichern willst, nutzen die einweg hashes im übrigen relativ wenig - schliesslich willst du ja irgendwann an die daten
letztendlich musst du halt 'nur' für eine sichere serverkonfiguration sorgen, so dass unbefugter zugriff auf die daten ausgeschlossen ist...