Hallo SBler,
ich habe folgende Frage, ist ein PHP Login sicher oder empfiehlt sich doch eher ein JS Login?
Folgende Situation:
Ich möchte für meine HP die bald online geht ein Login erstellen, ich habe einen normalen Webspace. Mir ist bewusst das ich die Passwörter verschlüsseln muss wenn diese in die Datenbank geschrieben werden. Dies würde ich mit
machen. Nun ist ja das Problem, dass das Passwort erstmal unverschlüsselt an den PHP Server übertragen wird, da verschlüsselt wird und dann in die Datenbank gespeichert wird. Wie ist es mit Javascript? Wird das Passwort auf dem Client PC verschlüsselt und dann erst abgesendet oder läuft das auch anders? Und würde es mir etwas bringen meine HP via SSL Zertifikat zu verschlüsseln, also wird dann die PHP Methode sicherer?
mit freundlichen Grüßen,
Clan Fusion
Da js auf dem client pc läuft kann es beliebig "gehackt" werden Also manipuliert ich empfehle php mit ssl
ok, meine Vorgeschlagene Verschlüsselung ist ausreichend oder kann man daran auch noch etwas verbessern?
Schreib was eigenes
Habe ich auch gemacht
JS = JavaScript?
Na, das wäre bombensicher - Einfach den Quelltext öffnen und nach Belieben anpassen.
Peer SSL sicher an den Server übertragen und gut ists.
Grüße
meinst du eine eigene Verschlüsselung? Wie stelle ich das am besten an? In diese Richtung habe ich mich noch nicht belesen^^
Das was am Ende in der Datenbank gespeichert wird, hat nichts mit der Sicherheit des Logins zu tun. Das Passwort nicht als Klartext in der Datenbank zu speichern macht man nur, um die User zu schützen, falls jemand fremdes Zugriff auf die Datenbank hat.
Das was man mit SSL versucht wird zu verhindern ist eine Man-In-The-Middle-Attacke, sprich dass der Angreifer Eingaben manipuliert oder vorher abfängt.
Was man mit JavaScript machen könnte, wäre, die Daten vor dem Übertragen mit einem öffentlichen Schlüssel (-> Public Key Encryption) zu verschlüsseln und dann serverseitig wieder mit dem entsprechenden privaten Schlüssel zu entschlüsseln. Ganz sicher ist es nicht, aber man kann das Passwort oder sonstige Daten nicht einfach so mitlesen.
Ich finde ein JS Login viel besser
Allein schon das man mit Javascript mehr Funktionen hat.
Und was ist wenn ein User kein Java installiert hat? man muss ja an alles denken
Java hat nichts mit JavaScript zu tun.
Falls der User JavaScript deaktiviert hat kannst du entweder einen (unsichereren) Fallback bereitstellen oder ihn darauf hinweisen, dass er JavaScript aktivieren soll.