Formulardaten verschlüsselt versenden ohne SSL |
||
|---|---|---|
| #0
| ||
|
17.12.2007, 02:56
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
03.01.2008, 01:01
Member
Beiträge: 21 |
#2
Hi,
So ein Verfahren wird mittlerweile auch von der Postbank eingesetzt um TANs zu versenden. Ist jedenfalls sicherer, als alles unverschlüsselt zu verschicken. Der Versand des Schlüssels findet allerdings wieder Klartext statt, und hier liegt auch das Problem. Wenn jemand in der Lage ist, eine Klartext Nachricht abzufangen - kann er auch die verschlüsselte Nachricht und den Schlüssel abfangen. Dann war's das wieder mit dem Schutz. __________ Meine Seite zum Thema Datensicherung |
|
|
|
|
|
|
03.01.2008, 01:49
Member
 Beiträge: 451 |
#3
ich habe keine Ahnung bei welchem Hoster Du bist, aber domainfactory uva. bieten auch bei den 1 Euro Webpacketen einen kostenlosen SSL Proxy für die Seite an wie z.B. https://sslsites.de/
bei unverschlüsselten Verbindungen gibt es theoretisch immer die Möglichkeit des "man in the middle" Angriffs - also das bei der Verbindung jemand dazwischen hängt. habe ich das richtig verstanden das der Empfänger unverschlüsselt aber per SMS einen Schlüssel bekommt um eine Nachricht zu entschlüsseln ... und jetzt häng ich; die er wie bekommen hat? Gruss Tille __________ Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich. Dieser Beitrag wurde am 03.01.2008 um 01:57 Uhr von Tille editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
meint Ihr, dass folgendes - SSL-vergleichbar - sicher ist bzw. seht Ihr Möglichkeiten, diese Idee so zu verändern (vereinfachen? erweitern?), dass SSL-vergleichbare Sicherheit entsteht?
1. Es gibt ein Formular auf einer öffentlich zugänglichen Internetseite, dessen Daten an ein CGI- bzw. PHP-Script eines Providers verschickt werden. Das Provider-Script sendet die Formulardaten per E-Mail an die eigentliche Adressatin weiter. - Alles unsicher, ohne SSL etc.
2. Es gibt ein JavaScript, das die Daten vor dem Absenden (1) AES-verschlüsselt (256 bit Blocklänge und Schlüssellänge).
2a) Das JavaScript generiert dazu einen Schlüssel bestehend aus aktuellem Datum und 6-stelliger Zufallszahl. Der Schlüssel ist also für jedes Formular-Absenden einmalig.
2b) Das JavaScript schickt den Schlüssel zu einem PHP-Script auf einen anderen Server - nicht SSL - per Post-Methode (d.h. praktisch kein Caching möglich).
3. Das PHP-Script schickt den Schlüssel als SMS-Nachricht über ein HTTP-Gateway an das Telefon der eigentlichen Adressatin. (Kostet rund 10 ct.)