Verschlüsselte Verbindung

Hallo,

ist es möglich per PHP eine verschlüsselte Verbindung zwischen zwei Servern aufzubauen? z.B. Als Passwortserver. Der Benutzer gibt auf einer Website sein Passwort und den Benutzernamen ein. Die Daten werden in eine Variable gespeichert, diese verschlüsselt an den Passwortserver weitergegeben. Dieser Verarbeitet dann die Daten, also überprüft sie auf Richtigkeit und sendet dann an die Website ein "ok" zurück.

Wie kann man die verschlüsselte Verbindung in PHP realisieren? Ist das überhaupt möglich?

Danke für eure Hilfe
Gruß
Pilleslife

würde das mit nicht mit .htaccess gehen?

Das ganze lässt sich auf zwei wege realisieren.

1. SSL ( http://de.wikipedia.org/wiki/Transport_Layer_Security )
Damit kannst du eine verschlüsselte Verbindung zum Server aufbauen.

2. Via Java Script die Daten Verschlüsseln.
Du kannst über eine javascript Funktion die Daten auf dem Client verschlüsseln und dann an den PW Server schicken.

Die restliche Realisierung ist dann so wie im wBB und anderen Systemen. Also es wird eine neue Session erzeugt und solange die aktiv ist kannst du eingeloggt bleiben.

Sowie das Geld und die technischen Möglichkeiten zur Verfügung stehen würde ich SSL empfehlen. Da man dafür kein JS aktiviert haben muss.

Ich kenne SSL nur Client->Server. Gehts das dann auch Server<->Server?

Trotzdem schon einmal danke.

Hallo,

nach meinem Wissen geht das nicht mit SSL.

wieso nicht curl und md5/sha1?

sprich:

eingabe vom user: $_USER[username@passwort]
gespeicher auf server: $_S3RV3R[username@passwort]

übergabe: md5($_USER);
überprüfung: $_USER == md5($_S3RV3R)

wobei das passwort auf dem server auch verschlüsselt vorliegen SOLLTE (kann ich nur empfehlen... siehe woltlab...) kann man die zweite verschlüsselung auf dem server weglassen

ich hoffe ich konnte mich so ausdrucken, dass es auch jemand versteht

Hallo,

ich glaube ich habe deinen Vorschlag verstanden. Aber soll die überprüfung dann auf dem "Passwortserver" oder auf dem anderen erfolgen?

Wenn auf dem PW-Server, wie soll dann das "ok" übertragen werden.

Gruß
Pilleslife

curl gibt die rückmeldung vom angesprochenem script wieder

es reicht also ein echo "ok"; o.ä. im script, welches das ganze überprüft

Wie funktioniert das genau mit curl? Habe das noch nie gemacht.

Hi,

http://at2.php.net/curl

Gruß
Dizzy

Danke. Ich werde mirs mal anschauen.

php: 1: 2: 3: 4: 5: 6: 7: 8: 9: 10: <?php $ch = curl_init("ADRESSE ZUM UEBERPRUEFUNGSSCRIPT"); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($ch, CURLOPT_POST, TRUE); curl_setopt($ch, CURLOPT_POSTFIELDS, 'username='.md5($_POST['username']).'&password='.md5($_POST['password'])); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); $result = curl_exec($ch); curl_close($ch); echo $result; ?>

und das script welches es überprüft:

php: 1: 2: 3: 4: 5: 6: 7: 8: 9: <?php if ($_POST['username'] == md5($USERNAME_AUS_DATENBANK) && $_POST['password'] == $PASSWORD_AUS_DATENBANK) {   echo "ok"; } else {   echo "nix ok!"; } ?>

BruteForce lässt grüßen

Danke. Ich werde das mal ausprobieren.

@[kamui]: Mit BruteForce kann man (fast) alles knacken. Wieso sollte das jetzt anfälliger sein??

Wenn du es über curl machst, ohne Begrenzung (3mal in 10min/User o.Ä.), kann ich einfach ein Script schreiben, das via BruteForce die Passwörter knackt.

Achso du meinst eine Sperre, wenn man es zu oft versucht.

Zitat:

Original von Pilleslife Achso du meinst eine Sperre, wenn man es zu oft versucht.

Genau das meine ich

proxys lassen grüßen

wenn dann würde ich md5(sha1("PW")) x mal ausführen (x = z.B. 87)

dann ist rein theoretisch BruteForce zwar trotzdem weiterhin möglich

aber mit der z.Z. verfügbaren hardware schafft man das nicht (bzw. natürlich kann man auch per zufall alle 87 hashes (bzw. da md5 und sha1 87x2) dann immer noch beim ersten versuch richtig "tippen" aber wer daran glaubt, glaubt auch noch an den weihnachtsmann )

Oder man nimmt Salts

hab ich gestern schon gelesen, das die meisten nun auf dem salt-trip sind mal gucken ... vll. werde ich es auch mal anwenden