YourWBB


yourWBB » yourWBB Misc * » Das Proggen » MySQL und PHP » Verschlüsselte Verbindung » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 9.609 Views | | Thema zu Favoriten hinzufügen
Seiten (2): [1] 2 nächste »
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Verschlüsselte Verbindung
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1
Fragezeichen Verschlüsselte Verbindung Antworten Zitieren Editieren Melden       UP
Hallo,

ist es möglich per PHP eine verschlüsselte Verbindung zwischen zwei Servern aufzubauen? z.B. Als Passwortserver. Der Benutzer gibt auf einer Website sein Passwort und den Benutzernamen ein. Die Daten werden in eine Variable gespeichert, diese verschlüsselt an den Passwortserver weitergegeben. Dieser Verarbeitet dann die Daten, also überprüft sie auf Richtigkeit und sendet dann an die Website ein "ok" zurück.

Wie kann man die verschlüsselte Verbindung in PHP realisieren? Ist das überhaupt möglich?

Danke für eure Hilfe
Gruß
Pilleslife
01.10.07 15:30 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
Ismaili
Mitglied


Dabei seit: 06.05.07
Beiträge: 39
Forenversion: Lite 1.0
Antworten Zitieren Editieren Melden       UP
würde das mit nicht mit .htaccess gehen?

__________________
http://www.freaks-forum.net
01.10.07 15:35 Ismaili ist offline E-Mail Finden Als Freund hinzufügen
SSJ5000 SSJ5000 ist männlich
Mitglied


Dabei seit: 15.08.04
Beiträge: 189
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Das ganze lässt sich auf zwei wege realisieren.

1. SSL ( http://de.wikipedia.org/wiki/Transport_Layer_Security )
Damit kannst du eine verschlüsselte Verbindung zum Server aufbauen.

2. Via Java Script die Daten Verschlüsseln.
Du kannst über eine javascript Funktion die Daten auf dem Client verschlüsseln und dann an den PW Server schicken.

Die restliche Realisierung ist dann so wie im wBB und anderen Systemen. Also es wird eine neue Session erzeugt und solange die aktiv ist kannst du eingeloggt bleiben.

Sowie das Geld und die technischen Möglichkeiten zur Verfügung stehen würde ich SSL empfehlen. Da man dafür kein JS aktiviert haben muss.
01.10.07 16:51 SSJ5000 ist offline E-Mail WWW Finden Als Freund hinzufügen Füge SSJ5000 in deine Kontaktliste ein MSN Passport-Profil von SSJ5000 anzeigen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Ich kenne SSL nur Client->Server. Gehts das dann auch Server<->Server?

Trotzdem schon einmal danke. smile
01.10.07 17:19 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
GneX
Mitglied


images/avatars/avatar-5801.jpg

Dabei seit: 18.12.06
Beiträge: 656
Antworten Zitieren Editieren Melden       UP
Hallo,

nach meinem Wissen geht das nicht mit SSL.
05.02.08 14:29 GneX ist offline Finden Als Freund hinzufügen
24Bytes 24Bytes ist männlich
Der Coolste


Dabei seit: 19.07.06
Beiträge: 2.909
Fähigkeiten: WBB3 Anfänger; WBB2 Profi; WBB Lite 2 Anfänger; WBB Lite 1 Fortgeschritten
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
wieso nicht curl und md5/sha1?

sprich:

eingabe vom user: $_USER[username@passwort]
gespeicher auf server: $_S3RV3R[username@passwort]

übergabe: md5($_USER);
überprüfung: $_USER == md5($_S3RV3R)

wobei das passwort auf dem server auch verschlüsselt vorliegen SOLLTE (kann ich nur empfehlen... siehe woltlab...) kann man die zweite verschlüsselung auf dem server weglassen

ich hoffe ich konnte mich so ausdrucken, dass es auch jemand versteht

__________________
Online Passwort Generator

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von 24Bytes: 05.02.08 16:15.
05.02.08 16:14 24Bytes ist offline E-Mail Finden Als Freund hinzufügen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Hallo,

ich glaube ich habe deinen Vorschlag verstanden. Aber soll die überprüfung dann auf dem "Passwortserver" oder auf dem anderen erfolgen?

Wenn auf dem PW-Server, wie soll dann das "ok" übertragen werden.

Gruß
Pilleslife
05.02.08 16:59 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
24Bytes 24Bytes ist männlich
Der Coolste


Dabei seit: 19.07.06
Beiträge: 2.909
Fähigkeiten: WBB3 Anfänger; WBB2 Profi; WBB Lite 2 Anfänger; WBB Lite 1 Fortgeschritten
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
curl gibt die rückmeldung vom angesprochenem script wieder

es reicht also ein echo "ok"; o.ä. im script, welches das ganze überprüft

__________________
Online Passwort Generator
05.02.08 17:13 24Bytes ist offline E-Mail Finden Als Freund hinzufügen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Wie funktioniert das genau mit curl? Habe das noch nie gemacht.
05.02.08 19:03 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
Dizzy.w3 Dizzy.w3 ist männlich
Brain Damage


images/avatars/avatar-5617.jpg

Dabei seit: 18.07.07
Beiträge: 1.431
Herkunft: Österreich
Forenversion: 3.0
Antworten Zitieren Editieren Melden       UP
Hi,

http://at2.php.net/curl

Gruß
Dizzy

__________________
Gruß Dizzy

the rest is silence
05.02.08 19:15 Dizzy.w3 ist offline E-Mail Finden Als Freund hinzufügen Füge Dizzy.w3 in deine Kontaktliste ein MSN Passport-Profil von Dizzy.w3 anzeigen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Danke. Ich werde mirs mal anschauen.
05.02.08 19:30 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
24Bytes 24Bytes ist männlich
Der Coolste


Dabei seit: 19.07.06
Beiträge: 2.909
Fähigkeiten: WBB3 Anfänger; WBB2 Profi; WBB Lite 2 Anfänger; WBB Lite 1 Fortgeschritten
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
php: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:

<?php
$ch curl_init("ADRESSE ZUM UEBERPRUEFUNGSSCRIPT");
curl_setopt($chCURLOPT_SSL_VERIFYPEERFALSE);
curl_setopt($chCURLOPT_POSTTRUE);
curl_setopt($chCURLOPT_POSTFIELDS'username='.md5($_POST['username']).'&password='.md5($_POST['password']));
curl_setopt($chCURLOPT_RETURNTRANSFERTRUE);
$result curl_exec($ch);
curl_close($ch);
echo $result;
?>

und das script welches es überprüft:

php: 
1:
2:
3:
4:
5:
6:
7:
8:
9:

<?php
if ($_POST['username'] == md5($USERNAME_AUS_DATENBANK) && $_POST['password'] == $PASSWORD_AUS_DATENBANK)
{
  echo "ok";
} else
{
  echo "nix ok!";
}
?>


__________________
Online Passwort Generator

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von 24Bytes: 05.02.08 21:18.
05.02.08 21:18 24Bytes ist offline E-Mail Finden Als Freund hinzufügen
[kamui]
~


images/avatars/avatar-4963.gif

Dabei seit: 27.04.05
Beiträge: 2.992
Antworten Zitieren Editieren Melden       UP
BruteForce lässt grüßen smile
05.02.08 22:24 [kamui] ist offline Finden Als Freund hinzufügen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Danke. Ich werde das mal ausprobieren.

@[kamui]: Mit BruteForce kann man (fast) alles knacken. Wieso sollte das jetzt anfälliger sein??
06.02.08 11:27 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
[kamui]
~


images/avatars/avatar-4963.gif

Dabei seit: 27.04.05
Beiträge: 2.992
Antworten Zitieren Editieren Melden       UP
Wenn du es über curl machst, ohne Begrenzung (3mal in 10min/User o.Ä.), kann ich einfach ein Script schreiben, das via BruteForce die Passwörter knackt.
06.02.08 11:52 [kamui] ist offline Finden Als Freund hinzufügen
Pilleslife
Mitglied


images/avatars/avatar-5378.jpg

Dabei seit: 22.04.06
Beiträge: 446
Forenversion: 2.3; 2.1

Themenstarter Thema begonnen von Pilleslife
Antworten Zitieren Editieren Melden       UP
Achso du meinst eine Sperre, wenn man es zu oft versucht.
06.02.08 14:39 Pilleslife ist offline E-Mail WWW Finden Als Freund hinzufügen Füge Pilleslife in deine Kontaktliste ein MSN Passport-Profil von Pilleslife anzeigen
[kamui]
~


images/avatars/avatar-4963.gif

Dabei seit: 27.04.05
Beiträge: 2.992
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von Pilleslife
Achso du meinst eine Sperre, wenn man es zu oft versucht.


Genau das meine ich
06.02.08 14:45 [kamui] ist offline Finden Als Freund hinzufügen
24Bytes 24Bytes ist männlich
Der Coolste


Dabei seit: 19.07.06
Beiträge: 2.909
Fähigkeiten: WBB3 Anfänger; WBB2 Profi; WBB Lite 2 Anfänger; WBB Lite 1 Fortgeschritten
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
proxys lassen grüßen Augenzwinkern

wenn dann würde ich md5(sha1("PW")) x mal ausführen (x = z.B. 87)

dann ist rein theoretisch BruteForce zwar trotzdem weiterhin möglich

aber mit der z.Z. verfügbaren hardware schafft man das nicht Augenzwinkern (bzw. natürlich kann man auch per zufall alle 87 hashes (bzw. da md5 und sha1 87x2) dann immer noch beim ersten versuch richtig "tippen" aber wer daran glaubt, glaubt auch noch an den weihnachtsmann Augen rollen )

__________________
Online Passwort Generator

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von 24Bytes: 06.02.08 17:59.
06.02.08 17:55 24Bytes ist offline E-Mail Finden Als Freund hinzufügen
[kamui]
~


images/avatars/avatar-4963.gif

Dabei seit: 27.04.05
Beiträge: 2.992
Antworten Zitieren Editieren Melden       UP
Oder man nimmt Salts smile
06.02.08 18:27 [kamui] ist offline Finden Als Freund hinzufügen
24Bytes 24Bytes ist männlich
Der Coolste


Dabei seit: 19.07.06
Beiträge: 2.909
Fähigkeiten: WBB3 Anfänger; WBB2 Profi; WBB Lite 2 Anfänger; WBB Lite 1 Fortgeschritten
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
hab ich gestern schon gelesen, das die meisten nun auf dem salt-trip sind mal gucken ... vll. werde ich es auch mal anwenden Augenzwinkern

__________________
Online Passwort Generator
06.02.08 18:31 24Bytes ist offline E-Mail Finden Als Freund hinzufügen
Seiten (2): [1] 2 nächste » Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » yourWBB Misc * » Das Proggen » MySQL und PHP » Verschlüsselte Verbindung