Hallo!
Wie überträgt das SmartUpdatePlugin bzw. der SmartUpdater von PB eigentlich das Passwort? Einfach als GET-Anhang??? Im Klartext oder ist da eine Verschlüsselung drauf?
Danke,
Simon
Passwortübertragung
Passwortübertragung
Windows XP Pro SP2 - PB 4.00Ich bin Ausländer - fast überall
Wenn du es in der Homepage eintippst: Garantiert in GET-Anhang und relativ ungeschützt...
CodeArchiv Rebirth: Deutsches Forum Github Hilfe ist immer gern gesehen!
-
freedimension
- Admin
- Beiträge: 1987
- Registriert: 08.09.2004 13:19
- Wohnort: Ludwigsburg
- Kontaktdaten:
was bedeutet denn "relativ ungeschützt"?
Und ich meine das SmartUpdate-Tool, also nicht die Homepage.
Ich wollte einfach mal wissen, ob es eine sichere Methode zum Übertragen eines Passworts von PB auf bspw. ein PHP-Skript gibt, oder ob es Klartext übertragen werden muss.
Und ich meine das SmartUpdate-Tool, also nicht die Homepage.
Ich wollte einfach mal wissen, ob es eine sichere Methode zum Übertragen eines Passworts von PB auf bspw. ein PHP-Skript gibt, oder ob es Klartext übertragen werden muss.
Windows XP Pro SP2 - PB 4.00Ich bin Ausländer - fast überall
-
freedimension
- Admin
- Beiträge: 1987
- Registriert: 08.09.2004 13:19
- Wohnort: Ludwigsburg
- Kontaktdaten:
Klar, du kannst hier mit md5 arbeiten:
1.) Passwort wird MD5-verschlüsselt auf dem Server abgelegt.
2.) Der Client meldet beim Server eine Übermittlung des Passwortes an
3.) Der Server schickt eine Bestätigung zusammen mit einem öffentlichen zufallsgenerierten String an den Client
4.) Der Client MD5-kodiert das eingegebene Passwort, verknüpft das Ergebnis mit dem Zufallsstring, und MD5-kodiert dieses Ergebnis nocheinmal. Das Endergebnis wird an den Server übermittelt.
5.) Der Server vergleicht nun diesen String mit dem String in der Datenbank, zuvor wird natürlich auch dieser String mit der Zufallszahl verknüpft und kodiert.
fertig
Für Javascript gibt es schöne MD5-Prozeduren, wahlweise kann auch SHA-1 oder ähnliches verwendet werden.
Gruß
Mirko
1.) Passwort wird MD5-verschlüsselt auf dem Server abgelegt.
2.) Der Client meldet beim Server eine Übermittlung des Passwortes an
3.) Der Server schickt eine Bestätigung zusammen mit einem öffentlichen zufallsgenerierten String an den Client
4.) Der Client MD5-kodiert das eingegebene Passwort, verknüpft das Ergebnis mit dem Zufallsstring, und MD5-kodiert dieses Ergebnis nocheinmal. Das Endergebnis wird an den Server übermittelt.
5.) Der Server vergleicht nun diesen String mit dem String in der Datenbank, zuvor wird natürlich auch dieser String mit der Zufallszahl verknüpft und kodiert.
fertig
Für Javascript gibt es schöne MD5-Prozeduren, wahlweise kann auch SHA-1 oder ähnliches verwendet werden.
Gruß
Mirko
whow, das gefällt mir...
Vom System her ist das ja dann so ähnlich wie PGP, oder?
also ich find das so super, dass man eigentlich eine Befehlssammlung mit passendem PHP gegenstück schreiben sollte.
Aber wie wird diese Zufallszahl mit dem MD5-Verschlüsselten Passwort verknüpft? Einfach hintenhing gehängt und dann nochmal MD5 drüberlaufen lassen, oder?
Und bei der PHP-erzeugten Ausgabe: soll der Header da geändert werden? Beispielsweise MIME-Typ plain-text oder so...
Vom System her ist das ja dann so ähnlich wie PGP, oder?
also ich find das so super, dass man eigentlich eine Befehlssammlung mit passendem PHP gegenstück schreiben sollte.
Aber wie wird diese Zufallszahl mit dem MD5-Verschlüsselten Passwort verknüpft? Einfach hintenhing gehängt und dann nochmal MD5 drüberlaufen lassen, oder?
Und bei der PHP-erzeugten Ausgabe: soll der Header da geändert werden? Beispielsweise MIME-Typ plain-text oder so...
Windows XP Pro SP2 - PB 4.00Ich bin Ausländer - fast überall
Ach ja,
ich muss dann eine Nummer mitsenden (PB->PHP), die praktisch als ID für den Zufallstring steht, oder?
der Ablauf wäre dann also:
PB: Ich sende ein Passwort!
PHP: OK, nimm 897398 dazu, mit der ID 4
PB: Hier das Passwort: blablabla, verschlüsselt mit 4
PHP: Hier die angeforderten Daten; zu sich selbst: ID4 ist nun wieder frei für den nächsten Transfer
Also ungefähr so, oder? Ohne ID weiß PHP ja nicht, mit welchem Schlüssel verschlüsselt wurde, und wenn ich den Zufallstring mitsende, kann der ja abgefangen werden, und dann würde das Passwort ja immer stimmen.
ich muss dann eine Nummer mitsenden (PB->PHP), die praktisch als ID für den Zufallstring steht, oder?
der Ablauf wäre dann also:
PB: Ich sende ein Passwort!
PHP: OK, nimm 897398 dazu, mit der ID 4
PB: Hier das Passwort: blablabla, verschlüsselt mit 4
PHP: Hier die angeforderten Daten; zu sich selbst: ID4 ist nun wieder frei für den nächsten Transfer
Also ungefähr so, oder? Ohne ID weiß PHP ja nicht, mit welchem Schlüssel verschlüsselt wurde, und wenn ich den Zufallstring mitsende, kann der ja abgefangen werden, und dann würde das Passwort ja immer stimmen.
Windows XP Pro SP2 - PB 4.00Ich bin Ausländer - fast überall
-
freedimension
- Admin
- Beiträge: 1987
- Registriert: 08.09.2004 13:19
- Wohnort: Ludwigsburg
- Kontaktdaten:
Du hasst es erfasst. Der Zufallsstring ist natürlich nur für die eine Session gültig und wird auch im Session-Hash abgelegt. D.h. wenn du eine funktionierende Sessionverwaltung hast (ist ja zum Glück bei PHP dabei), brauchst du dir nichtmal das Passwort irgendwo in die Datenbank schreiben oder ähnlichen Firlefanz betreiben.
-
freedimension
- Admin
- Beiträge: 1987
- Registriert: 08.09.2004 13:19
- Wohnort: Ludwigsburg
- Kontaktdaten:
