verschlüsseln und entschlüsseln

kampfgnom · 27.01.2007, 12:35

Hallo,
ich hab nichts passendes gefunden deshalb ein neuer treath
Also ich möchte eine zeichen kette verschlüsseln und diese später aber auch wieder entschlüsseln,
Die sciherheit dabei muss nciht besonders groß sein, es geht vielmehr darum daten per GET-Variablen zu verschicken und sie so unkentlich zu machen das man nicht einfach mal nach belieben den Wert verändern kann....

Ich hoffe ich hab mich einigermasen verständlich ausgedrückt

grüße
Gabriel

Artemis · 27.01.2007, 13:30

Das wäre etwas für dich:
http://www.blitzforum.de/forum/viewtopic.php?t=18461

pepe24 · 27.01.2007, 13:36

Grundsätzlich ist es nicht gut, sensible Daten per Get zu übergeben. Denn wer wirklich was böses will (und sich auskennt), der macht das dann auch.

Aber trotzdem ein Gedanke: denkbar wäre es, Buchstaben und Zahlen mit rot13 / base64 zu behandeln und dann noch nach einem eigenen Schlüssel von Dir die Buchstaben zu substituieren. (z.B. u->a, A->Z, - -> .). Das sollte jedenfalls für den Laien eine große Hürde sein.

Auch denkbar wäre es, von den Get-Daten einen Hash zu machen und auf den Folgeseiten zu prüfen, ob dieser sich geändert hat.

Nichtsdestotrotz lieber POST nehmen.

Gruß

Basti · 27.01.2007, 13:46

Hi Gabriel.

Zitat:

Zitat von kampfgnom

Ich hoffe ich hab mich einigermasen verständlich ausgedrückt

Für mich nicht so ganz.

Zitat:

Die sciherheit dabei muss nciht besonders groß sein, es geht vielmehr darum daten per GET-Variablen zu verschicken und sie so unkentlich zu machen das man nicht einfach mal nach belieben den Wert verändern kann....

Also was nun? Nicht besonders sicher oder nicht erkennbar und manipulierbar machen?

Prinzipiell sehe ich die zwei Wege, die Daten entweder zu verschlüsseln oder die Daten auf dem Server (in der Session) zu speichern und über einen Schlüssel zugänglich zu machen, der dann eben als Parameter durchgegeben wird.

Für Ersteres findest du hier was:
http://www.php.net/manual/en/ref.mcrypt.php
Die Anzahl der Zeichen in einem GET-Request ist beschränkt - eignet sich also nur für wenige Daten, die es weiterzugeben gilt.

Letzteres ist ein wenig aufwändiger umzusetzen, aber eine Feine Sache. Ich benutze das z.B., um bei internen Redirects Systemmeldungen mitzugeben ("Die Seite wurde erfolgreich angelegt", ...), will das aber später ausweiten auf ein Request-Objekt, dem eben lesbare und versteckte Parameter mitgegeben werden können und aus dem dann Links, Redirects oder Formulare gemacht werden können.

Wichtig ist ggf., dass die Schlüssel nicht fortlaufend sind, also eher via md5(uniqid(rand(), true)) erzeugt werden.

Basti

MrNiceGuy · 27.01.2007, 13:47

@pepe: Wer wirklich manipulierte Daten übergeben will, tut dies egal, ob mit GET oder POST. Die Konsistenz der Daten muss so oder so immer geprüft werden!

Eine andere Alternative wäre wohl eine asynchrone Verschlüsselung, jedoch sollte die mit JavaScript wohl doch etwas aufwendig zu realisieren sein. Der "Kosten"-Nutzen-Faktor wäre hierbei jedoch wohl so bescheiden, dass eine einfache Stromchiffren-Verschlüsselung wohl die einfachste, schnellste und für die nicht so hoch geforderte Sicherheit beste Methode darstellt.

pepe24 · 27.01.2007, 16:50

Zitat:

Zitat von MrNiceGuy

[...] jedoch sollte die mit JavaScript wohl doch etwas aufwendig zu realisieren sein. [...]

Eine Clientseitige Verschlüsselung zu verwenden ist ja sowieso völlig sinnfrei.

Basti · 27.01.2007, 17:27

Zitat:

Zitat von pepe24

Zitat:

Zitat von MrNiceGuy

[...] jedoch sollte die mit JavaScript wohl doch etwas aufwendig zu realisieren sein. [...]

Eine Clientseitige Verschlüsselung zu verwenden ist ja sowieso völlig sinnfrei.

Nicht Pauschal. Nur hier macht es keinen Sinn.

Basti

MrNiceGuy · 27.01.2007, 18:13

Zitat:

Zitat von pepe24

Zitat:

Zitat von MrNiceGuy

[...] jedoch sollte die mit JavaScript wohl doch etwas aufwendig zu realisieren sein. [...]

Eine Clientseitige Verschlüsselung zu verwenden ist ja sowieso völlig sinnfrei.

Bei asymmetrischer (wie kam ich nur auf asynchron?) Verschlüssel macht es sehr wohl sinn, siehe hierzu auch https. Allerdings kann man dann auch direkt jenes nutzen

Was aber die Übermittlung von Daten angeht, ist es egal, ob man GET oder POST nutzt.

kampfgnom · 28.01.2007, 11:14

Also ich bedanke mich für die vielen Antworten,
werde mir die Links mal anschauen.
Mir geht es einfach nur darum, das ich eine art Browser-game schreiben möchte (wie lange das dauert ist 2. ^^) welches aber so geschriebn ist das die zeiten fürs bauen extrem kurz sind und man sowas auf LAN´s nebenbei spielen.
Da gibt es keine Hacker... (zumindest nicht auf den LAN´s wo das gespielt werden soll....)
Aber man soll trotzdem so ein paar daten nicht einfach erkennen... das währ ja sinnfrei

grüße
Gabriel

27.01.2007, 12:35	Nach oben #1
kampfgnom Gabriel Registriert seit: 27.09.2006 Ort: Radebeul Beiträge: 410	verschlüsseln und entschlüsseln Hallo, ich hab nichts passendes gefunden deshalb ein neuer treath Also ich möchte eine zeichen kette verschlüsseln und diese später aber auch wieder entschlüsseln, Die sciherheit dabei muss nciht besonders groß sein, es geht vielmehr darum daten per GET-Variablen zu verschicken und sie so unkentlich zu machen das man nicht einfach mal nach belieben den Wert verändern kann.... Ich hoffe ich hab mich einigermasen verständlich ausgedrückt grüße Gabriel

27.01.2007, 13:30	Nach oben #2
Artemis Jonas Registriert seit: 03.06.2006 Beiträge: 241	Das wäre etwas für dich: http://www.blitzforum.de/forum/viewtopic.php?t=18461 __________________ Applikations-Programmierung: BlitzMax, BlitzPlus Webentwicklung: PHP, (X)HTML, CSS, JavaScript, MySQL

27.01.2007, 13:47	Nach oben #5
MrNiceGuy Lutz Registriert seit: 14.08.2005 Ort: Nienburg / Weser Beiträge: 684	@pepe: Wer wirklich manipulierte Daten übergeben will, tut dies egal, ob mit GET oder POST. Die Konsistenz der Daten muss so oder so immer geprüft werden! Eine andere Alternative wäre wohl eine asynchrone Verschlüsselung, jedoch sollte die mit JavaScript wohl doch etwas aufwendig zu realisieren sein. Der "Kosten"-Nutzen-Faktor wäre hierbei jedoch wohl so bescheiden, dass eine einfache Stromchiffren-Verschlüsselung wohl die einfachste, schnellste und für die nicht so hoch geforderte Sicherheit beste Methode darstellt. __________________ Paradox ist, wenn jemand für seinen Alkoholkonsum geradestehen soll

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Codeschnipsel entschlüsseln	Interceptor	Allgemeine Java-Programmierung	11	26.07.2004 09:33

27.01.2007, 13:36	Nach oben #3
pepe24 Neuer Benutzer Registriert seit: 21.01.2007 Beiträge: 6	Grundsätzlich ist es nicht gut, sensible Daten per Get zu übergeben. Denn wer wirklich was böses will (und sich auskennt), der macht das dann auch. Aber trotzdem ein Gedanke: denkbar wäre es, Buchstaben und Zahlen mit rot13 / base64 zu behandeln und dann noch nach einem eigenen Schlüssel von Dir die Buchstaben zu substituieren. (z.B. u->a, A->Z, - -> .). Das sollte jedenfalls für den Laien eine große Hürde sein. Auch denkbar wäre es, von den Get-Daten einen Hash zu machen und auf den Folgeseiten zu prüfen, ob dieser sich geändert hat. Nichtsdestotrotz lieber POST nehmen. Gruß

28.01.2007, 11:14	Nach oben #9
kampfgnom Gabriel Registriert seit: 27.09.2006 Ort: Radebeul Beiträge: 410	Also ich bedanke mich für die vielen Antworten, werde mir die Links mal anschauen. Mir geht es einfach nur darum, das ich eine art Browser-game schreiben möchte (wie lange das dauert ist 2. ^^) welches aber so geschriebn ist das die zeiten fürs bauen extrem kurz sind und man sowas auf LAN´s nebenbei spielen. Da gibt es keine Hacker... (zumindest nicht auf den LAN´s wo das gespielt werden soll....) Aber man soll trotzdem so ein paar daten nicht einfach erkennen... das währ ja sinnfrei grüße Gabriel

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)