Verschlüsselung username+password

Hallo Experten,

wie kann ich die Benutzereingaben (username + password) beim Login so verschlüsseln, dass sie bei der Übergabe an eine andere PHP-Ressource (Cursor über Link) in der Statuszeile nicht oder nur verschlüsselt dargestellt werden, und wie kann ich sie wieder entschlüsseln? Ist bestimmt was ganz einfaches. Ich brauch aber den Klaps auf den Hinterkopf :wink:

Liebe Grüße
Huttatta

ha!

njo, sowas übergibt man normalerweise nicht per get (url), sondern per post (header); und überhaupt solltest sowas in den sessions speichern, nicht von dok zu dok immer weitermitübergeben!

ansonsten würd ich username und password crypt()'en, und dann mit deinen anderen gecrypteten exisiterenden passwörtern vergleichen (aber wie gesagt, auch das ist eine blöde und absolut unsichere methode, weil … argh! also: wenn sich werd den gecrypteten salat rauskopiert, kommt er mit dem auch wieder rein!).

heil bineria,

  • stefan

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hi,

Die sicherste Methode ist https, allerdings musst Du Dir dafuer ein Zertifikat ausstellen (oder ausstellen lassen) und im Apache das SSL-Modul aktivieren. Bei HTTPS wird die Website nicht ueber Port 80, sondern ueber Port 443 uebertragen und es wird sichergestellt, dass niemand mitlauschen kann (Man-In-The-Middle-Attack). Der komplette Inhalt wird bei der Uebertragung mit dem Zertifikat verschluesselt. Sowas habe ich bei mir auch noch vor. Allerdings steigt der Traffic um ca. 100%.

cu,
cjmatsel

Hi Stefan,

erst mal danke für den Tipp! Mir ist jetzt klar, dass es eigentlich völliger Quatsch ist, diese sensiblen Variablen der URL mitzugeben. Ich habe mir das mit den Sessions nochmal angesehen. Jetzt bin ich aber nicht sicher, ob ich es richtig verstanden habe. Bin halt noch ein richtiger PHP-Super-DAU X-) Also: Ich beginne in der login.php (wo die Daten hin übermittelt werden) eine Session ganz am Anfang der Datei:

session_start();
?>

Dann checke die Benutzereingaben und wenn alles okay ist, registriere ich die Sitzungsvariablen $benutzername und $passwort:

session_register(„benutzername“);
session_register(„passwort“);
?>

Wenn ich dann in der nächsten Datei wieder die Sitzungsfunktion mit session_start() einschalte, kann ich dort ganz einfach auf die registrierten Sitzungsvariablen zugreifen. Ist’s richtig so? Oder habich’s total vermasselt?

Gruß
Huttatta

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

nana, stimmt schon so!

obwohl, wenn man eine neuere version von php hat, ist es sinnvoller, auf $_SESSION[‚benutzername‘] zuzugreifen (sicherheit).

  • stefan
1 Like