+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Community (/forumdisplay.php?fid=56)
+--- Forum: Hilfe (/forumdisplay.php?fid=102)
+---- Forum: Scripting (/forumdisplay.php?fid=108)
+---- Thema: PHP Login oder doch lieber JS? (/showthread.php?tid=20610)
PHP Login oder doch lieber JS? - Clan-Fusion - 06.01.2012 13:20
Hallo SBler,
ich habe folgende Frage, ist ein PHP Login sicher oder empfiehlt sich doch eher ein JS Login?
Folgende Situation:
Ich möchte für meine HP die bald online geht ein Login erstellen, ich habe einen normalen Webspace. Mir ist bewusst das ich die Passwörter verschlüsseln muss wenn diese in die Datenbank geschrieben werden. Dies würde ich mit
PHP-Code:
md5()
machen. Nun ist ja das Problem, dass das Passwort erstmal unverschlüsselt an den PHP Server übertragen wird, da verschlüsselt wird und dann in die Datenbank gespeichert wird. Wie ist es mit Javascript? Wird das Passwort auf dem Client PC verschlüsselt und dann erst abgesendet oder läuft das auch anders? Und würde es mir etwas bringen meine HP via SSL Zertifikat zu verschlüsseln, also wird dann die PHP Methode sicherer?
mit freundlichen Grüßen,
Clan Fusion
RE: PHP Login oder doch lieber JS? - Mave1993 - 06.01.2012 13:26
Da js auf dem client pc läuft kann es beliebig "gehackt" werden Also manipuliert ich empfehle php mit ssl
RE: PHP Login oder doch lieber JS? - Clan-Fusion - 06.01.2012 13:34
ok, meine Vorgeschlagene Verschlüsselung ist ausreichend oder kann man daran auch noch etwas verbessern?
RE: PHP Login oder doch lieber JS? - DebianDEV - 06.01.2012 13:42
Schreib was eigenes
Habe ich auch gemacht 
RE: PHP Login oder doch lieber JS? - Timoo - 06.01.2012 13:45
JS = JavaScript?
Na, das wäre bombensicher - Einfach den Quelltext öffnen und nach Belieben anpassen.
Peer SSL sicher an den Server übertragen und gut ists.
Grüße
RE: PHP Login oder doch lieber JS? - Clan-Fusion - 06.01.2012 13:45
meinst du eine eigene Verschlüsselung? Wie stelle ich das am besten an? In diese Richtung habe ich mich noch nicht belesen^^
RE: PHP Login oder doch lieber JS? - keving - 06.01.2012 14:58
Das was am Ende in der Datenbank gespeichert wird, hat nichts mit der Sicherheit des Logins zu tun. Das Passwort nicht als Klartext in der Datenbank zu speichern macht man nur, um die User zu schützen, falls jemand fremdes Zugriff auf die Datenbank hat.
Das was man mit SSL versucht wird zu verhindern ist eine Man-In-The-Middle-Attacke, sprich dass der Angreifer Eingaben manipuliert oder vorher abfängt.
Was man mit JavaScript machen könnte, wäre, die Daten vor dem Übertragen mit einem öffentlichen Schlüssel (-> Public Key Encryption) zu verschlüsseln und dann serverseitig wieder mit dem entsprechenden privaten Schlüssel zu entschlüsseln. Ganz sicher ist es nicht, aber man kann das Passwort oder sonstige Daten nicht einfach so mitlesen.
RE: PHP Login oder doch lieber JS? - nobody - 06.01.2012 15:11
Ich finde ein JS Login viel besser
Allein schon das man mit Javascript mehr Funktionen hat.
RE: PHP Login oder doch lieber JS? - Clan-Fusion - 06.01.2012 15:17
Und was ist wenn ein User kein Java installiert hat? man muss ja an alles denken
RE: PHP Login oder doch lieber JS? - keving - 06.01.2012 15:19
Java hat nichts mit JavaScript zu tun.
Falls der User JavaScript deaktiviert hat kannst du entweder einen (unsichereren) Fallback bereitstellen oder ihn darauf hinweisen, dass er JavaScript aktivieren soll.
RE: PHP Login oder doch lieber JS? - Clan-Fusion - 06.01.2012 15:24
ok
jetz muss ich das nurnoch iwie umsetzen... habe mich zur Zeit immer vor JavaScript gedrückt...
RE: PHP Login oder doch lieber JS? - keving - 06.01.2012 15:30
Naja, du bist nicht der erste der sowas vor hat
Hab mal kurz gesucht und hab das hier gefunden: [Link: Registrierung erforderlich]
Hab es nicht komplett gelesen, sieht aber trotzdem vielversprechend aus
RE: PHP Login oder doch lieber JS? - alcazar - 06.01.2012 17:26
Kryptologische Möglichkeiten gibt es viele, am besten wäre das One-Time-Pad, aber das eignet sich für Logins weniger.
Besser Du nimmst statt md5, was eigentlich auch nur ein Nachrichten-Algorithmus/Prüfsumme is, die SHA-Familie.
Weiß jetz nich ob JS bzw. PHP schon SHA2 können, aber das is allemal sicherer, insbesondere wenn Du den Hash noch salzt...