[maxwell]

maxwell

maxwell

Show maxwell's last posts.

Show general stats for maxwell.

• 
• Newbie
• Beiträge: 21

Hallo Forum,

mir ist das Thema Sicherheit, im Rahmen der Umsetzung meines Projektes ein wichter Bestandteil
zum Schutze von Daten. Ich arbeite mit Ajax und gebe zur Laufzeit die Postleitzahl an ein PHP-Skript, um anschließend die Ortsdaten zu ermitteln. Ferner übergebe ich die ermittelten Daten an eine SelectBox aus die Benutzer dann den Ort auswählen kann. Das Gleiche Verfahren besteht bei der Vorabprüfung ob ein Benutzername bereits existiert. Nur habe ich hier ein Problem. Zwar besteht während der gesamten Registrierung eine SSL-Verbindung aber könnte man diese nicht mithören? Da hier wichtige Informationen während der Laufzeit mit dem Server ausgetauscht werden ist die sehr bedenklich. Sollte die SSL-Verbindung nicht bestehen ist es noch schwerwiegender.

Ich habe mir folgendes überlegt (ohne SSL-Verbindung):
Beim Aufruf des Skriptes (Registrierungsseite) wird mit Hilfe der 'crypt()' - Funktion (PHP) ein Schlüssel generiert (evtl. mit Unix-Timestamp). Dieser wird an das Javascript übergeben und zusammen mit dem Benutzernamen per Request (POST-Methode) an den Server übertragen. Anschließend - bei Antwort des Servers (Response) - als Header (Response-Header) zurückgeschickt. Jetzt wird dieser mit dem zuvor geposteten verglichen. Stimmen die beiden - ich nenne sie mal Key's - nicht überein liegt ein Fehler vor und das Skript bricht ab.

Was meint Ihr dazu? Reicht gier SSL aus um die Daten beim versenden zu sichern?

Nachtrag:
Ich störe mich auch daran, dass die Pfade zu den Skripten im Javascript sichtbar sind. Kann man das irgendwie verschleiern, sodass der Benutzer die Links nicht mehr sieht?

Viele Grüße
Max

[» тнє $υι¢ι∂є « ™]

» тнє $υι¢ι∂є « ™

» тнє $υι¢ι∂є « ™

Visit » тнє $υι¢ι∂є « ™'s website.

Show » тнє $υι¢ι∂є « ™'s last posts.

Show general stats for » тнє $υι¢ι∂є « ™.

• 
• Webseiten-Junkie
• Beiträge: 427
• ρнρ-∂єνєℓσρєя

SSL Reicht vollkommen aus

[Oetzi]

Oetzi

Oetzi

Visit Oetzi's website.

Show Oetzi's last posts.

Show general stats for Oetzi.

• 
• PHP Scripter
• Beiträge: 163

Also wenn man mal von einigen Verschwörungstheoretikern absieht die behaupten der britische Geheimdienst hätte schon vor einigen jahren ein Verfahren gefunden SSL zu knacken sollte man eigentlich davon ausgehen können das die daten so ziemlich sicher aufgehoben sind ;-)