Update: Crypto Message veröffentlicht!

Nicht schlecht, fände es cool wenn man auch mehrere Zeilen machen könnte ggf. das Textfeld bisschen größer auch wäre .

LG
Karlo

Nicht schlecht, fände es cool wenn man auch mehrere Zeilen machen könnte ggf. das Textfeld bisschen größer auch wäre .

LG
Karlo

Da gibt es leider noch ein paar Design-Probleme, werde aber schauen, was ich machen kann.

Natürlich ist der Projekt-Name zum Teil Geschmackssache, aber auch die Benutzerfreundlichkeit sollte beachtet werden. Wer hat schon Lust eine so lange Domain einzutippen oder sich diese genau zu merken, wenn es einfacher gehen könnte? Warum benutzt du englische Keywords für eine deutsche Webseite?

Die verschlüsselte Nachricht in der URL zu übergeben hat einen sehr großen Nachteil: Sie kann gespeichert werden, ohne das Passwort zu kennen und später dann unabhängig von deiner Seite geknackt werden (mit etwas Rechenleistung).

Deine Seite ist außerdem nicht gegen BruteForce-Attacken geschützt. Das Hash-Passwort aus der URL ist auch mit etwas Zeit und Rechenleistung sehr einfach zu knacken...

Wie soll der Nutzer die Passwortübergabe vornehmen? Direkt mit dem Link versenden? Bringt nur etwas, wenn man auch über einen anderen Kommunikationskanal kommuniziert oder die Person persönlich kennt.

Ich habe noch eine weitere Sicherheitslücke gefunden, mit der man Cookie-Stealing, Phishing usw. betreiben kann...

Der verschlüsselte Text aus der URL kann in heutiger Zeit nicht ohne das korrekte Passwort entschlüsselt werden. Als Verschlüsselungs-Algorithmus wird AES verwendet, der bis heute noch nicht geknackt wurde. Darüber hinaus habe ich noch weitere Sicherheitsmaßnahmen eingebaut, auf die ich hier nicht näher eingehen möchte.
Zudem könnte ich, wenn ich möchte, weitere Passwörter einbauen, mit denen verschlüsselt wird, die nur dem Server bekannt sind. Somit wäre die Entschlüsselung außerhalb von Crypto Message so gut wie unmöglich. Ich habe mich jedoch bewusst dagegen entschieden, damit der Text mit dem richtigen Passwort eben auch außerhalb von Crypto Message entschlüsselt werden kann.

Gegen Brute Force habe ich auch schon eine Lösung eingebaut, die allerdings noch verbessert werden muss. Starke Passwörter können aber dennoch nicht erraten werden.

Am sichersten kann Crypto Message benutzt werden, wenn Entschlüsselungs-URL und Passwort über zwei unterschiedliche Kanäle übertragen werden (am besten persönlich). Für Angreifer ist es immer schwieriger, zwei Kanäle zu überwachen als nur einen.

Zum Schluss: Würdest du mir deine gefundene Sicherheitslücke mal per PN mitteilen? Würde mir das dann mal anschauen.
//Edit: Aber wozu sollen diese Lücken gut sein? In den Cookies wird nichts Wichtiges gespeichert. Phishing kann man sowieso immer betreiben, auch bei PayPal etc.

Er meint bestimmt fehlende CSRF-Protection.

Übrigens, wenn man ein gültiges PW angibt, aber keinen Text, erhält man den Hinweis, dass man ein zu kurzes PW angegeben hat.

Im IE 11 ist das Feld mit dem Link nicht hoch genug.

PPS: Klick mal auf den Danke-Button! Danke.

Ja, habe die Meldung extra nicht geändert, da ich davon ausgehe, dass jeder "normale" Besucher einen Text eingibt.

Wer nutzt schon den IE?


Ich müsste nochmal was Wichtiges wissen:
Was würdet ihr bevorzugen?
-mehr Sicherheit; keine Kompatibilität mit anderer Software
oder
-weniger Sicherheit; dafür Kompatibilität mit anderer Software

Nach ewig langem Nachdenken finde ich ja nun doch ersteres besser, aber ich würde auch gern eure Meinung dazu hören.

Ich würde es bevorzugen, wenn du dein eigenes Produkt ernster nehmen würdest. Es geht hier um Sicherheit, wohingegen du eine sehr laxe Einstellung demonstrierst. Das erweckt kein Vertrauen.

Das tut mir leid, wenn ich einen falschen Eindruck vermittle.
Das Projekt/Produkt (wie auch immer) wurde von Anfang an auf hohe Sicherheit ausgelegt und das ist auch immer noch der Kerngedanke dahinter.
Daher habe ich mich auch für mehr Sicherheit, keine Kompatibilität mit anderer Software entschieden. Auch wenn es das vorher schon nicht war, sollte es jetzt noch weniger möglich sein, verschlüsselte Texte zu knacken.

Ich bin selbst von der Software überzeugt und würde es auch für eigene private Zwecke verwenden, um wichtige Informationen verschlüsselt zu speichern oder anderen Personen Wichtiges zukommen zu lassen.

Ich würde wetten, dass es keiner schafft, einen mit Crypto Message verschlüsselten Text zu knacken.
Drumherum sorgt die TLS-Verschlüsselung dafür, dass Text und Passwort bei der Verschlüsselung nicht mitgeschnitten werden können. Die TLS-Verschlüsselung verwendet ebenfalls AES und den DH-Schlüsselaustausch, womit in jeder Session andere Schlüssel zum Ver- und Entschlüsseln des Traffics verwendet werden. Somit ist es nicht möglich, mitgeschnittenen Traffic zu entschlüsseln, selbst wenn der private Schlüssel bekannt geworden ist.


Edit:
Die Open Beta ist beendet; es wurde genug Feedback gegeben! Es werden ab sofort noch letzte Verbesserungen vorgenommen, bis Crypto Message Montag Abend oder Dienstag offiziell veröffentlicht wird.

Crypto Message wurde soeben offiziell veröffentlicht! Die Version 1.0 enthält viele Verbesserungen im Vergleich zur Beta-Version. Zudem wurde sehr viel Feedback aus der Beta-Phase berücksichtigt und in die finale Version implementiert!

Auch in Zukunft wird Crypto Message natürlich regelmäßig weiterentwickelt und gepflegt werden, um immer maximale Sicherheit gewährleisten zu können.

Viel Spaß mit Crypto Message!

Respekt - du hast ein Script in 2 Tagen durch die OpenBeta gejagt und von mind. 3 Vorschlägen nur einen umgesetzt, wobei alle 3 wichtig sind...
Nehms mir nicht übel - aber das was du da gemacht hast ist nix - sowas schreibe ich in ner Stunde, sogar mit Datenbankanbindung und Textarea...

Schöner Scherz aber, dass du das Script in 2 Tagen "komplett" auf alle Fehler überprüft hast - mein CMS hat dafür 4 Monate gebraucht und war selbst danach nich fehlerfrei.