| rollstuhlfahrer |
27. Mai 2011 11:46 |
AW: "Passwortsicherheit" von Komponenten
Zitat:
Zitat von Satty67
(Beitrag 1103275)
Die Daten mit dem öffentlichen Schlüssel encrypten und an den Server senden. Dort erst mit dem privaten Schlüssel decrypten.
|
Sollten SSL und TLS das nicht schon sein? - Das hindert Wireshark trotzdem nicht daran, das Passwort anzuzeigen. Spätestens, wenn man mit einem Man-in-the-Middle-Angriff an die ganze Sache ran geht und das Programm gerade zufällig nicht das Zertifikat überprüft, ist die ganze Sache eh hinfällig, weil dann die komplette Kommunikation im Klartext vorliegt.
Zitat:
Zitat von Berni68
(Beitrag 1103269)
Meine Absicht:
Ich stelle Nutzern die Daten sammeln müssen ein Programm zur Verfügung,
das die Daten auf einem WebServer ablegt (Idee/Ansatz->FTP),
Ist das mit HTTP so auch möglich? Da ist doch ein Problem mit dem Webspace Provider und dem zurückschreiben oder?
|
Ein HTML-Formular, in das die Daten im Browser eingegeben werden und dann serverseitig in eine DB geschoben werden sollte doch vollkommen ausreichen. Dann braucht man noch nicht einmal ein Client-Programm. Und wenn das gesichert ablaufen soll, dann lädt man das eben per HTTPS.
Bernhard |
