Hallo Fi´s!

Ich habe folgendes Verständnissproblem:

Ich habe eine Seite, auf der ein User sich in eine DB mit Passwort/Name eintragen kann. Sobald der User auf einen Button klickt, wird eine andere Seite geladen und die Daten per <Form> übergeben.

Diese neue Seite trägt das Passwort/Name in die DB ein.

Jetzt erste Frage hierzu:

Ist das nicht schon ein Sicherheitsrisiko, da das Passwort unverschlüsselt an die Seite, die die Daten in die DB schreibt übermittelt wird?

Wenn sich der User dann über sein Passwort/Name anmelden will, gibt er die Daten wieder in das Formular ein. Dieses wird wieder an eine andere Seite geschickt und die lädt die Daten aus der DB und vergleiche dann das eingegebene Passwort mit dem in der DB gespeicherten.

Jetzt meine Denklücke....

Ich möchte dass Passwort verschlüsseln. Um dies aber zu tun, müssen die Daten des Users ja erst mal von der Seite mit den Eingabefeldern zu einer anderen Seite geschickt werden. Das ist doch dann schon eine Sicherheitslücke oder sehe ich das falsch? Diese Seite würde dann das gespeicherte Passwort aus der DB laden und mit dem eingegebenen überprüfen. Dann bräuchte ich die doch aber nicht mehr verschlüsseln, da ich diese auch gleich vergleichen könnte.

Kann mir das mal jemand erklären? Ist die Verschlüsselung nur sinnvoll, wenn das Passwort über mehrere Seiten oder per Link in der Adressleiste übertragen wird?

Danke!!!!

Jetzt meine Denklücke....

Ich möchte dass Passwort verschlüsseln. Um dies aber zu tun, müssen die Daten des Users ja erst mal von der Seite mit den Eingabefeldern zu einer anderen Seite geschickt werden. Das ist doch dann schon eine Sicherheitslücke oder sehe ich das falsch?

Ja, das ist eine Sicherheitslücke die du nur durch den Einsatz von SSL schließen kannst.

Diese Seite würde dann das gespeicherte Passwort aus der DB laden und mit dem eingegebenen überprüfen. Dann bräuchte ich die doch aber nicht mehr verschlüsseln, da ich diese auch gleich vergleichen könnte.

Passwörter werden in der Datenbank md5 verschlüsselt, damit Sie niemand der deine Anwendung hackt und Zugriff auf deine Datenbank bekommt auslesen kann.

Also sichere Übertragung = SSL

Sichere Speicherung = MD5

Gruß Jaraz

PS: Passwörter gehören NIEMALS in die URL

Ja, das ist eine Sicherheitslücke die du nur durch den Einsatz von SSL schließen kannst.

Passwörter werden in der Datenbank md5 verschlüsselt, damit Sie niemand der deine Anwendung hackt und Zugriff auf deine Datenbank bekommt auslesen kann.

Also sichere Übertragung = SSL

Sichere Speicherung = MD5

Gruß Jaraz

Ok, vielen Dank schonmal!

Wenn ich das Passwort md5 verschlüsselt in der DB ablege ergibt sich aber folgendes Problem. Wie löse ich das, wenn z.B. der User sein Passwort vergessen hat und ich ihm dieses wieder schicken möchte. Dann habe ich ja nur das verschlüsselte Passwort und kann ihm dann nicht das unverschlüsselte schicken :confused:

Ok, vielen Dank schonmal!

Wenn ich das Passwort md5 verschlüsselt in der DB ablege ergibt sich aber folgendes Problem. Wie löse ich das, wenn z.B. der User sein Passwort vergessen hat und ich ihm dieses wieder schicken möchte. Dann habe ich ja nur das verschlüsselte Passwort und kann ihm dann nicht das unverschlüsselte schicken :confused:

Du generierst ein neues Passwort und speicherst es verschlüsselt in die Datenbank und schickst ihm das neue zu.

Außerdem solltest du eine Möglichkeit schaffen das der User das zugeschickte Passwort ändern kann.

Gruß Jaraz

Du generierst ein neues Passwort und speicherst es verschlüsselt in die Datenbank und schickst ihm das neue zu.

Außerdem solltest du eine Möglichkeit schaffen das der User das zugeschickte Passwort ändern kann.

Gruß Jaraz

Das ist natürlich eine Idee...

So werde ich das dann machen. Eine Möglichkeit zum Ändern des Passwortes wird natürlich auch eingebaut werden. Vielen Dank für die schnelle und professionelle Hilfe