Announcement

**HHeneke** · 09.05.2007, 21:50

Sende das Login-Formular doch einfach mit POST, nicht mit GET:

<form action="login.jsp" method="post">

</form>

Gru�
Hendrik

**majd** · 10.05.2007, 22:44

Originally posted by HHeneke View Post

Sende das Login-Formular doch einfach mit POST, nicht mit GET:

<form action="login.jsp" method="post">

</form>

Gru�
Hendrik

danke Heneke, aber wenn man im Firefox nachsieht, es wird doch trotzdem so geschickt , so wie es ist, aber es war mein Problem, die Fragestellung war falsch. was ich wollte ist: wie lass ich das gar nicht so in diesem Form geschickt, kann ich die Werte erst verschl�sseln bevor die daten zu Server �bertragen werden ? dann wird man doch anstatt Password=abc ---> password=HGFDKD�$&/�$7&&�$ so etwas!!!. erst verschl�sseln , das problem dass ich an die Werte erst ran komme,wenn man auf SUBMIT klickt. und genau da sind die Daten SCHON im header. wie greife ich auf die Werte zu bevor man submit click dann k�nnte ich die unsichtbar machen mit method=post.

Danke
majd

**HHeneke** · 10.05.2007, 23:18

Es w�re doch viel einfacher, alles �ber eine SSL-verschl�sselte Verbindung abzuwickeln. Alle anderen Varianten (z.B. die Eingaben vor dem Absenden irgendwie mit JavaScript zu verschl�sseln) sind ganz sch�n kompliziert. Au�erdem erreichst Du damit keine h�here Sicherheit: Entweder, Du gibst den Verschl�sselungsalgorithmus f�r jedermann sichtbar direkt im JavaScript preis oder du verschl�sselst asynchron serverseitig (AJAX), wobei Du das Passwort dann wieder im Klartext an den Server schickst um es zu verschl�sseln.

Eigentlich f�llt mir nur eine Variante ein, die halbwegs sicher ist: Aus dem eingegebenen Passwort mittels JavaScript einen Hash berechnen und den Hash anstelle des Klartext-Passworts an den Server schicken. Serverseitig musst Du dann nat�rlich das z.B. in einer Datenbank gespeicherte Klartext-Passwort auf Basis des gleichen Algorithmus hashen und beide Hashes vergleichen.

Kurzum: Alles sehr kompliziert, wohingegen Du mit SSL alles viel einfacher haben kannst.

Gru�
Hendrik

**majd** · 10.05.2007, 23:33

Originally posted by HHeneke View Post

Es w�re doch viel einfacher, alles �ber eine SSL-verschl�sselte Verbindung abzuwickeln. Alle anderen Varianten (z.B. die Eingaben vor dem Absenden irgendwie mit JavaScript zu verschl�sseln) sind ganz sch�n kompliziert. Au�erdem erreichst Du damit keine h�here Sicherheit: Entweder, Du gibst den Verschl�sselungsalgorithmus f�r jedermann sichtbar direkt im JavaScript preis oder du verschl�sselst asynchron serverseitig (AJAX), wobei Du das Passwort dann wieder im Klartext an den Server schickst um es zu verschl�sseln.

Eigentlich f�llt mir nur eine Variante ein, die halbwegs sicher ist: Aus dem eingegebenen Passwort mittels JavaScript einen Hash berechnen und den Hash anstelle des Klartext-Passworts an den Server schicken. Serverseitig musst Du dann nat�rlich das z.B. in einer Datenbank gespeicherte Klartext-Passwort auf Basis des gleichen Algorithmus hashen und beide Hashes vergleichen.

Kurzum: Alles sehr kompliziert, wohingegen Du mit SSL alles viel einfacher haben kannst.

Gru�
Hendrik

hi,

ich glaube dass SSL ne reine L�ge ist, istalliere dir f�r Firefox ein extra Plugin der dir alle requests zeigt, und guck mal rein, du siehst dass dein passwort bei Hotmail sogar im klaren Text gesendet wird. obwohl da auch SSL benutzt wird. also wenn einer im Netz auf meinen Datenstrom interesiert ist und die abh�rt, kann doch die daten rausfinden. ich hofe dass ich SSL-Veschl�sselung falsch verstanden habe, da ansonsten w�re *****.
keine Ahnung. ich werde doch SSL vertrauen

.

danke Hendrik

Announcement

Login-Form-Attribute- im URL-Status

Login-Form-Attribute- im URL-Status

Comment

Comment

Comment

Comment