Opened by #Kein Kommentar at 2008-01-23 16:27
User since
2006-01-27
3886 Artikel
HausmeisterIn
2006-01-27
3886 Artikel
HausmeisterIn
murphy+2008-01-23 16:14:26--Linuxer+2008-01-23 15:58:41--[...]
Klartextpasswörter sind immer eine schlechte Idee.
Speicher einen aus dem Passwort mit crypt() erstellten String in einem String im Skript.
Wenn das Passwort als Parameter übergeben wurde, wendest Du nochmal crypt() an und vergleichst das Ergebnis mit dem gespeicherten String.
[...]
Die Übertragung des Passwortes im Klartext vom Client zum Server ist aber auch keine gute Idee, es sei denn die Verbindung ist bereits authentifiziert und verschlüsselt, zum Beispiel mit SSL.
Für ungesicherte Verbindungen wäre ein Frage-Antwort-Protokoll besser: Der Server schickt einen Schlüssel an den Client, welcher damit das Passwort verschlüsselt und an den Server zurückschickt. Das ist natürlich bei Webanwendungen etwas umständlich zu bewerkstelligen, aber es hilft gegen Replayattacken.
edit: vorab: mag sein, dass ich das geschriebene Wort hier falsch (über)interpretiere... :/edit
Habe ich eine Klartextkommunikation zwischen Server und Client empfohlen oder warum zitierst Du meine Antwort für Deine Antwort?
Afaik: Auch wenn die Verbindung SSL-verschlüsselt ist, kommen die Parameter doch unverschlüsselt im Skript an, oder irre ich da?
meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!