Login via https

  • Also gehst Du davon aus, dass der Angreifer auf der Maschiene des Users ist.
    Klar ... dann ist es Wurst was verschlüsselt wurde.


    Aber ich gehe immernoch von dem Fall aus, in dem User zB unterwegs ist - in fremden Netzwerken (Flughafen ect ... was ja nu mehr als oft vorkommt).


    Utopie - Thread ... ? ... wurst. Darüber reden bringt (normalerweise) Erfahrung =)
    Und solange es niemanden stört =)


    btw
    wenn man Deine Meinung und meine Meinung zum Thema "Verschlüsselung für normalo Page nötig" zusammen nimmt:
    es wäre ja möglich Username und PW als Hash zu senden, anstatt als clear text (via JS).
    Hatte darüber auch schon gelesen.
    Dabei wird also nicht Username und PW als clear text übertragen und dann serverseitig zu einem PW-Hash gewandelt,
    sondern "zum Teil" gleich als hash versendet.


    Somit ist kein clear text unterwegs, und die Weiterverarbeitung zum eigentl. realen Hash (der in der db laddet), wird serverseitig erledigt.
    Sofern jeder Betreiber sich ~selbst was einfallen läst ( hash('sha256',***usernameJS_hash . pw_JS_hash . salt-bla-combi***) )
    bekommt der Angreifer nur den JS_hash.
    Er kennt also nicht den clear text Login, und auch nicht den in der db gespeicherten PW-hash.


    Was mich nur davon abgehalten hatte war, dass JS nötig ist.

  • Naja, gibt ja nun genug die JS nicht mögen. Und wenn dann zB jemand das Addon "noscript" nutzt, dann sind wir wieder beim normalen Login.


    Hab da übrigens irgentwas vergessen. Bekomme es nicht mehr zusammen.
    Denn nen JS_hash senden macht keinen Sinn, da der Angreifer den Hash (wie auch das clear text pw) abfangen und selbst senden könnte.
    Also irgendwas war da noch dazwischen. Fällt mir aber nicht mehr ein ... muss ich mal wieder raussuchen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!