Passwörter Verschlüsseln

Heyho,

ich bräuchte eure Hilfe ich möchte gern ein PW über das Netzwerk verschicken , allerdings nicht mehr in Klarform: ?pw=1234

Sondern verschlüsselt!

Problem 1: Jeder sieht den Verschlüsslungscode
Problem 2: Veschlüsslung/Script muss auf Freehostern alla funpic.de gehen

MD5 oder andere Hashes bringen nix da mein Server es entschlüsseln muss, Base64 zb bringt auch nix da jeder der es kennt entschlüsseln kann, mycrypt ist zb nicht überall verfügbar

mfg

Zitat von Pion

ich möchte gern ein PW über das Netzwerk verschicken , allerdings nicht mehr in Klarform: ?pw=1234

Wie meinst du das genau? Eventuell per POST-Request? Ein Passwort, egal in welcher Form, gehört nicht an eine URL.

Richtig Bandit aber leider muss dies bei meinen CMS so sein

Dort wird per get das Passwort an den Server übermittelt (hidden iframe)

Vorgegensweise des Servers:

Er bekommt ftp url/standort desscripts/ftp passwort und kopiert dann entsprechende Daten auf den Kunden Webspace/Server

Sockets oder ähnliches ist nicht überall vorhanden also muss es leider so gemacht werden

mfg

Schon mal an PGP gedacht?

Nein was bringt mir das?
Meine Frage verstanden?

Es ist ein CMS für jeden Webspace der FTP hat, die meisten kostenlose anbieter haben solche Sachen nicht aktiviert, installiert

So sind funktionen wie sockets oder ftp funktionen auf vielen gesperrt

mfg

Mit PGP kannst du doch Dateien ver- und entschlüsseln. Auf der einen Seite Datei mit Passwort erstellen, verschlüsseln, einlesen und an URL hängen. Auf der anderen Seite wieder andersrum vorgehen. Ist zwar umständlich, aber sollte relativ sicher sein.

Zum erstellen/verschlüsseln des Passwortes brauchts aber die Software und die kann ich beim Clienten nicht installieren

mfg

Dann wird es schwierig. Wenn du auf Standard-Installationen einschränken willst/musst, könntest du dir höchstens selber etwas stricken. Simple Encode/Decoder findet man auch in Scriptarchiven, aber ob dir das reicht?

Was bringt es mir den selber was zu erstellen wenn jeder CMS Kunde die Verschlüsslungsfunktion einsehen kann

Nicht viel, aber was willst du machen? Du kannst keine Software installieren, musst Rücksicht auf Standard-Installationen nehmen, da gibt es keine vernünftige Lösung. Zumindest kenne ich keine.

Zitat von bandit600

Nicht viel, aber was willst du machen? Du kannst keine Software installieren, musst Rücksicht auf Standard-Installationen nehmen, da gibt es keine vernünftige Lösung. Zumindest kenne ich keine.

Ich könnte vllt das passwort in Klarform in ein PHP datei schreiben, und irgentwie machen das diese Datei nur mein Server aufrufen kann bzw nur angezeigt bekommt
Vllt mit einer Servervariable hm

mfg

Dabei bist du aber auch von der Konfiguration des Servers abhängig. Ist allow_url_fopen auf false gestellt, geht wieder nichts.

Oman aber ist das so wenn ich nun sowas habe

<iframe src="pionserver/test?pw=das geheime passwort"

das dies mit Sniffer evtl abgefangen werden kann wenn Angreifer und Opfer im selben Netzwerk sind richtig?

Könnte auch einfach eine txt datei mit dem PW erstellen wo dann mein Server draufzugreift und die Datei nach zugriff löscht, aber wenn er mal hängt dann steht dort die Datei mit den PW auch lange rum...

mfg

Die einfachste Lösung ist, wenn du als Systemvoraussetzung allow_url_fopen oder
allow_url_include auf on verlangst, dann bist du aus dem Schneider. Eins von beiden sollte kein Problem sein. allow_url_fopen ist, glaube ich, sogar per Default auf on.

Nein , die funktionen kenn ich und hab mich früher mit rumgeärgert, bei Funpic fängts schon an der hat diese bzw Url Warpern nicht erlaubt....

Mein Server hat alle Rechte...

mfg

Gute Idee, werden dann die ganzen get variablen verschlüsselt und mein Server braucht ein Modul ja?

mfg