Hallo!

Leider hab ich keinen Tipp zu Deinem ursprünglichen Problem, nur eine Anmerkung.

Ein Login mit Hilfe einer Magnetkarte ist im Prinzip eine Authentifizierung durch Besitz. Bei der Übertragung der Daten an den Server musst Du auf jeden Fall sicherstellen, dass keiner die Daten abhören kann und oder sich alleine mit Wissen der Daten auch ohne Karte einloggen kann. Dafür würde ich ein Challenge Response Verfahren vorschlagen, was allerdings über das verbindungslose HTTP(S) schwer zu implementieren ist.

Viele Grüsse,
Sebastian

Moin!

kennt sich jemand von euch mit Kartenlesegeräten aus? Ich habe eine bis jetzt etwas vage Kundenanforderung, eine Authentifizierung/Login in eine php/mySQL Applikation über eine (vorhandene) Magnetstreifenkarte zu machen. Es müssen also Daten aus der Karte ausgelesen werden, *irgendwie* an ein php-Script übergeben werden und dann weiterverarbeitet.

Nur mal so als grundsätzliche Überlegung: Deine php/mySQL-Applikation dürfte im Browser ablaufen.

Das reduziert die Möglichkeiten, aus dem Browser heraus selbst tätig zu werden und die Magnetkarte zu lesen, sei es mittels Javascript oder (wenn im Intranet nur IEs vorkommen) VBScript. Bestenfalls wird der Hersteller der Lesegeräte dir ein ActiveX anbieten können, welches du einbinden kannst, um die Anmeldedaten in den Browser zu bekommen.

Ich glaube also nicht, dass es irgendwie möglich ist, durch geeignete Programmierung im Browser zu Ergebnissen zu kommen.

Und auch von der anderen Seite her dürfte es schwierig werden: Das Lesegerät und die zugehörige Software dürfte eher für den Zweck geschrieben worden sein, sich am jeweiligen Rechner anzumelden - als Erleichterung, stattdessen nicht immer das Passwort eintippen zu müssen. Nur mit Glück wird die Software auch daraufhin ausgelegt sein, die Magnetkartendaten in ein Webformular eintragen zu können.

Und was die Sicherheit angeht: Was in einem Formular steht, kann man _immer_ auch wieder auslesen, bzw. es wird nicht sonderlich geschützt weiterübertragen. Insofern würde die Magnetkartenlösung ohnehin nur eine das Passworttippen verhindernde Lösung sein, die aber keinerlei zusätzliche Sicherheit bergen würde.

Ganz anders sieht die Sache aus, wenn auf der Magnetkarte irgendeine Art von Authentifizierungsmechanismus enthalten wäre. Dazu ist die Magnetkarte aber zu doof - sie enthält nur Daten. Was man da eigentlich bräuchte, wäre eine Chipkarte mit eigenem Prozessor. Damit könnte man ganz grundsätzlich die Benutzersession verschlüsseln - auch wenn ich hierzu ebensowenig eine Idee hätte, wie das denn funktionieren sollte. Aber da du geschrieben hast, bereits vorhandene Magnetkarten sollten eingesetzt werden, fällt diese Möglichkeit ja ohnehin flach.

- Sven Rautenberg