also ich mach in der schule gerade einen webdienst in java, auch mit authentifizierung, da es ja aber in der schule ist, haben wir es so wei beschränkt, dass keiner beim sniffen das passwort erfährt und keine die daten von einem andere ändern kann.

die passwort übergabe ist mittels PPK (PublicPrivateKey) verschlüsselt, dazu bekommt der client vom Server immer nur den Public Key, der Server enschlüsselt user und passwort und versucht die authentifizierung bei einem ldap server, falls diese klappt bekommt der client ein connection objekt zurück, welches verschlüsselten user und pw hat und eine id, aufgrund dieser werte kann der server den user jedes mal identifizieren

verschlüsselung kannst die anschauen under javax.crypto glaube ich

weiters gebs die möglichkeit das ganze gleich mit ssl zu verschlüsseln

authentifizierung musst dir glaub ich auch etwas selber überlegen, oder das ganze mittels stateful session beans machen
hab zumindest nix dazu gefunden

Hallo
und vielen Dank für die Antwort.

Ich habe mir inzwischen Folgendes überlegt:

Benutzername und Passwort werden auf Applikationsebene implementiert, soll heißen, die Daten müssen im Webdienst jedes Mal als Parameter eingegeben werden und da ich sie unter Kontrolle habe, werden sie von mir mit dem gehashten Werten aus der Datenbank vergliechen.
Dazu brauche ich unbedingt eine SSL-Verbindung. Und hier liegt mein Problem.

Wenn ich ein Zertifikat für den Server beantrage, ist das für Zugriffe (mit https) vom Browser als Client vermutlich ausreichend. Der Browser nimmt mir die Arbeit ab, und sorgt für die Verschlüsselung, oder ?
Problematisch stelle ich mir das beim Richclient (kein Browser und keine Webanwendung) vor. Wie kann ich in diesem Fall die Verschlüsselung erreichen. Reicht es, wenn man einfach (wie bei einer Webanwendung) anstatt http https angibt.


Wie kann ich die übertragenen Daten überprüfen, ob sie wirklich verschlüsselt sind. Welcher Sniffer wäre zum Empfehlen ?

Danke !!!
Gruß
riw

also das zertifikat was du dir kaufst, oder selber erstellst (open SSL) gilt für den server, du kannst dann dort auch angeben, ob der zugriff nur über http(s) oder über beide gehn soll, und je nach dem, sagt dann der server wie die daten verschlüsselt werden sollen (meistens ppk und 128 - 1024 bit) und je nach dem welche bibliothek du verwendest musst du selber mehr oder weniger machen ... also ich weiß jetzt nicht in welcher sprache du den client programmieren willst, aber ich glaube wenn du java nimmst, sollte es ganz wenig sein, weil java das soap ja sehr abstrahiert, dh: du kriegst wenns die serveanwendung programmierst, nix davon mit wies verschickt wird, und genau so ists auch wennst den client programmierst.

wenn du zB c++ verwendest und das xml vielleicht auch noch selber parsen musst, dann musst es natürlich auch selber entschlüsseln

was den sniffer angeht einfach googlen und einen denns gratis gibt herunterladen, und dann vergleichen was du siehst wenns über http geht und was siehst wenns übers https läuft ... beim 2 solltest du nicht in der lage sein irgendwas sinnvolles zu erkennen, und beim 1. solltest du eigentlich alles wunderschön lesen können