Calocybe: Clientseitige verschlüsselung ? (gibt es alternativen?)

Beitrag lesen

SELF-Forum

Clientseitige verschlüsselung ? (gibt es alternativen?)

Calocybe
Informationen zu den Bewertungsregeln

Tach auch!

Bei MD5 is ja auch das größte problem welches ich darin sehe das man ja Java Script deaktivieren kann, und einige haben das ja deaktiviert... das is einfach mal blöd

Du scheinst da grundlegend was misszuverstehen. Also mal der Reihe nach.

MD5 steht fuer Message Digest, das ist eine Art Checksumme (128 bit breit). Das wesentliche daran ist, dass bei minimaler Aenderung der Input-Daten (1 Bit reicht schon) ein voellig anderes Ergebnis herauskommt. Auf [/selfaktuell/artikel/md5.htm] am Ende der Seite kannst Du schauen, wie sowas aussieht.

Eine MD5-Checksumme kann man natuerlich nicht nur in JavaScript berechnen! Bei der HTTP-Kommunikation macht das der Browser selbst, also nix JS. Aber dazu muss es der Browser eben unterstuetzen. Der Browser berechnet also die Checksum ueber das vom Benutzer eingegebene Passwort zusammen mit einigen weiteren Daten (Username, HTTP-Method, URL, vom Server gesendete Nonce-Value) und schickt das Ergebnis an den Server. Der macht genau dasselbe, naemlich die Checksumme ueber das Passwort, das er *erwartet*, und die weiteren Dinge bilden, und vergleicht dann das Ergebnis mit dem vom Browser gesendeten Ergebnis. Und wenn beides gleich ist, dann war das vom Benutzer eingegebene Passwort richtig (mit einer Wahrscheinlichkeit von 2^128 == 3.40E+38). Mehr dazu in http://rfc.fh-koeln.de/rfc/html/rfc2617.html.

Das Problem sind halt die Browser, die das unterstuetzen muessen. Die Aussage auf http://www.apache.org/docs/mod/mod_digest.html stammt von Juli 96, hat also keine Bedeutung mehr.

  1. da man den Quelltext der m5d.js zur Verfügung hat, is es auch wiederum leichter knackbar...

Eine Checksumme ist nicht de-crypt-bar, d.h. die Originaldaten koennen nicht aus der Checksumme restauriert werden. Der Quelltext ist sowieso bekannt, ob nun in JS oder C oder irgendeiner anderen Sprache, das Verfahren ist naemlich schlicht und einfach bekannt und weit verbreitet http://rfc.fh-koeln.de/rfc/html/rfc1321.html.

Aber mal was anderes: mein Bruder hat mir jetzt mal was von OPEN-SSL erzählt...
Dies muß doch aber auch wiederrum der Provider unterstüzen ... oder ?

http://www.openssl.org/, http://www.apache.org/related_projects.html#modssl

So long

Beitrag melden
Informationen zu den Bewertungsregeln