wie kann PHP verschlüsselte Mails senden?
Linuchs
- datensicherung
- php
0 dedlfix0 Linuchs
-1 robertroth0 MudGuard
Hallo,
ein Auftraggeber von mir war bisher sehr darauf bedacht, sein Kapital, den Kundenstamm, vor Ausspähung zu schützen. Er hat sogar seine recht einfachen Passwörter umgestellt auf sicherere.
Nun aber möchte er Kunden per Ankreuz-Formular befragen, was bisher über ein Formular per Fax erfolgte. Name und Firma sollen mit den angeklickten Antworten per Mail übertragen werden.
Habe mich bisher noch nicht mit Verschlüsselung von Mails befasst. Da muss ja wohl beim Sender und Empfänger geschraubt werden.
Ist das reine Routine oder brauche ich dazu einen "Lehrgang"?
Linuchs
Tach!
Habe mich bisher noch nicht mit Verschlüsselung von Mails befasst. Da muss ja wohl beim Sender und Empfänger geschraubt werden.
Der Sender muss die Mail mit dem öffentlichen Teil des Schlüssels vom Empfänger verschlüsseln, damit der Empfänger sie entschlüsseln kann. Das setzt einen Schlüsselaustausch vorher voraus. Bisher gibt es meines Wissens dazu noch keine wirklich DAU-kompatible Vorgehensweise.
Ist das reine Routine oder brauche ich dazu einen "Lehrgang"?
Für mich ist es Routine, eine Suchmaschine zu befragen und erstmal die darüber zu findenden Lösungen zu evaluieren.
dedlfix.
Ist das reine Routine oder brauche ich dazu einen "Lehrgang"?
Für mich ist es Routine, eine Suchmaschine zu befragen und erstmal die darüber zu findenden Lösungen zu evaluieren.
Logo, doch in der letzten Zeit (ich habe mehrere Baustellen) bin ich zu verschiedenen Themen auf "falsche Fährten" gelockt worden, zum Beispiel das Installieren von "Portable Firefox"
Stunde um Stunde vergeht und ich komme nicht voran.
Da sollte es nicht verwundern, dass ich mal Kollegen befrage. Da ich hier allein sitze, seid ihr das.
Linuchs
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
ein Auftraggeber von mir war bisher sehr darauf bedacht, sein Kapital, den Kundenstamm, vor Ausspähung zu schützen. Er hat sogar seine recht einfachen Passwörter umgestellt auf sicherere.
Nun aber möchte er Kunden per Ankreuz-Formular befragen, was bisher über ein Formular per Fax erfolgte. Name und Firma sollen mit den angeklickten Antworten per Mail übertragen werden.
Habe mich bisher noch nicht mit Verschlüsselung von Mails befasst. Da muss ja wohl beim Sender und Empfänger geschraubt werden.
Ist das reine Routine oder brauche ich dazu einen "Lehrgang"?
Bisher gab es für den Email-Verkehr PGP (Pretty good Privacy), was aber laut Fachmeinungen so hohl ist, dass es jeder halbwegs gut organisierte Kriminelle knacken kann. Die Email würde dabei auf dem Sender-PC verschlüsselt und erst auf dem Empfänger-PC wieder entschlüsselt. Die Verschlüsselung besteht also während des gesamten Übertragungs- und Zwischenspeicherweges.
Allerdings:
Die Mail-Header können selbstverständlich nicht verschlüsselt werden. Wenn es also ein halbwegs gut organisierter Krimineller auf Kundendaten abgesehen hat, kann er die auf dem gesamten Übertragungs- und Zwischenspeicherweg abfangen. Und bei Bedarf sendet er dann dem Kunden (den er ja erst einmal nicht mit Klarnamen kennt) eine tolle Anfrage, die ggf. dann auch beantwortet wird. Schon hat er die Daten. Oder bei Firmen schaut er einfach nach der Domain, wenn die einen eigenen PO-Server betreiben.
Die reinen Kontaktdaten lassen sich also nicht mit angemessenem Aufwand schützen.
Die Antwortdaten kann man aber besser schützen. Man richtet sich einen HTTPS-Server im eigenen Haus (im Tresor) ein und stellt dem Kunden einen Link und ein Login auf diesen zur Verfügung. Wenn man dann auch noch seine Netzwerkkarte selber baut, ist es nur mit hohem Aufwand möglich, noch die Nutzdaten abzugreifen.
Spirituelle Grüße
Euer Robert
robert.r@online.de
Hallo robertroth,
Bisher gab es für den Email-Verkehr PGP (Pretty good Privacy), was aber laut Fachmeinungen so hohl ist, dass es jeder halbwegs gut organisierte Kriminelle knacken kann.
Was? Woher hast du das denn? Wer sagt das?
Im Gegenteil, Snowden bestätigt GPG (eine Anwendung von PGP) doch sogar.
LG,
CK
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
Hallo robertroth,
Bisher gab es für den Email-Verkehr PGP (Pretty good Privacy), was aber laut Fachmeinungen so hohl ist, dass es jeder halbwegs gut organisierte Kriminelle knacken kann.
Was? Woher hast du das denn? Wer sagt das?
Im Gegenteil, Snowden bestätigt GPG (eine Anwendung von PGP) doch sogar.
Das geht wohl nicht um das Verfahren an sich, sondern um immer wieder im Umlauf befindliche manipulierte Versionen des Plug-Ins.
ZDNet
http://www.reuters.com/article/2014/03/31/us-usa-security-nsa-rsa-idUSBREA2U0TY20140331
Es gibt dazu auch noch Stellungnahmen des CCC und der Uni Mannheim, die ich jetzt aber nicht parat habe. Die Lücke steckt wohl darin, dass man eine garantiert saubere Version von PGP oder GGP (ohne Government-Key oder ähnlichen Maßnahmen) benötigt und als Laie leider nicht wissen kann, welche dazu gehören.
Und die Einstellung "Herr Snowden hat gesagt, also stimmt das" kann ich so nicht teilen. Man sollte besser etwas darüber nachdenken, wo die Angriffspunkte liegen. Mehr wollte ich mit dem Hinweis, dass es anderslautende Fachmeinungen gibt, nicht erreichen.
Spirituelle Grüße
Euer Robert
robert.r@online.de
Hallo robertroth,
Das geht wohl nicht um das Verfahren an sich, sondern um immer wieder im Umlauf befindliche manipulierte Versionen des Plug-Ins.
Dann solltest du das auch so formulieren. Das ist eine völlig andere Aussage als in deinem vorherigen Posting. Das ist das Problem vertrauenswürdiger Software-Quellen. Gerade in der Sicherheit ist eine exakte Audrucksweise essentiell.
Und die Einstellung "Herr Snowden hat gesagt, also stimmt das" kann ich so nicht teilen.
Das habe ich nicht gesagt und das weisst du auch.
LG,
CK
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
Und die Einstellung "Herr Snowden hat gesagt, also stimmt das" kann ich so nicht teilen.
Das habe ich nicht gesagt und das weisst du auch.
Das wollte ich auch nicht behaupten. Ich habe noch darüber nachgedacht, wie ich das auf einfache Weise sprachlich kenntlich machen kann, dass das meine Lesart allgemeiner Verlautbarungen ist und kein Zitat deiner Aussage... :-O
Da werden dann die Auslegungs-Meta-Informationen zum Text wieder erheblich länger, als der eigentliche Text. Naja, im Netz ist ja eigentlich noch genug Platz, ist ja kein Print-Erzeugnis :-P
Spirituelle Grüße
Euer Robert
robert.r@online.de
Hi,
ein Auftraggeber von mir war bisher sehr darauf bedacht, sein Kapital, den Kundenstamm, vor Ausspähung zu schützen. [...]
Nun aber möchte er Kunden per Ankreuz-Formular befragen, was bisher über ein Formular per Fax erfolgte. Name und Firma sollen mit den angeklickten Antworten per Mail übertragen werden.
Das beißt sich meines Erachtens.
Da ja alles sicher sein soll, wird das Formular per HTTPS übertragen, zumindest das ausgefüllte.
Wenn aber sowieso HTTPS zur Verfügung steht, dann sollte der Auftraggeber die eingegebenen Daten auch per HTTPS abrufen. Dann ist gar keine Mail mit den Kundendaten unterwegs.
Per einfacher unverschlüsselter Mail kann ja (wenn ein Kunde das Formular ausgefüllt hat) der Hinweis erfolgen: es sind neue Daten zum Abholen bereit.
cu,
Andreas a/k/a MudGuard