Https

do-it-yourself · 6. September 2008 um 15:53

Kennt sich irgendjemand damit aus?
Vielleicht ein Tutorial???, damit ich ein sichereres Loginsystem basteln kann

danke

Plinfa · 6. September 2008 um 16:04

einfach statt beispiel.de verwenden das ist alles, ansonsten musst du ganz normal programmieren. Allerdings klappt das nicht auf jedem Server. (Nicht jeder Server bietet ne verschlüsselte Verbingun an.)

Balmung · 6. September 2008 um 16:12

die ver/entschlüsselung übernimmt der Webserver voll automatisch, sofern aktiviert (wie vorposter shcon sagte)
sonst gibt es vielleicht nur noch zu beachten, dass der standardport 443 und nicht 80 ist, aber das ist für PHP und Webdesign eigentlich belanglos.

Sichere Logins gibt es auch noch andere Techniken, die man ausprobieren könnte, so dass Passwörter relativ sicher übermittelt werden. Dazu ist dann aber (bei den Methoden die ich kenne) z.b. JavaScript nötig.

mfg Balmung

do-it-yourself · 7. September 2008 um 09:53

Danke erstmal für die Antworten.
Ja, ich hab ein Login-System mit md5()-Hash programmiert und die Passwörter werden mit AJAX übermittelt etc. (ihr wisst, was ich meine), aber das erscheint mir noch zu unsicher (mit .htaccess wird das Design versaut, d.h. man kann sich nicht per $_POST[] einloggen, sondern man muss auf die/den entsprechende/n Datei/Ordner zugreifen und man kann dem Nutzer nicht sagen, dass er eingeloogt ist). Und ich habe gesehen, dass Google und Ebay(zur verschlüsselten Übertragung von Kontonummern etc.) zum Verschlüsseln der Daten auch https:// verwendet.

Nach langem Labern, komm ich zum Punkt:
Sind die Server hier bzw. ist Server 1 -kompatibel

PS: Mit Javascript zu programmieren, gefällt mir nicht so sehr, wegen der Fehlerbehebung (warum, wo, was)

michi7x7 · 7. September 2008 um 09:56

auf bplaced bekommst du kein SSL-Zertifikat (und wenn, dann kein gutes)

do-it-yourself · 7. September 2008 um 10:06

danke

Balmung · 7. September 2008 um 11:49

du verschlüsselst dein Passwort clientseitig mit md5?
Ich bin mir nicht sicher, ob das wirklich sicherer ist, als das Passwort plaintext zu übermitteln…

Denn wenn das passwort original übermittelt wird, gibt es theoretisch unendlich viele Passwort möglichkeiten. Es ist schlicht unmöglich das Passwort mithilfe von Bruteforce zu knacken, vorrausgestzt das Passwort besteht nicht aus irgendwelchen alltäglichen Wörtern sondern ist schön gemischt. Am besten noch mit Zeichen wie $%& etc.

Bei md5 gibt es allerdings “nur” lächerliche:
340.282.366.920.938.463.463.374.607.431.768.211.456
Kombinationen, was natürlich deutlich weniger ist als Unendlich

mfg Balmung