Zahl verschlüsseln und entschlüsseln (Allgemeines zu Perl)

[thread]17613[/thread]

Zahl verschlüsseln und entschlüsseln

Tags: perl5 Ähnliche Threads

Leser: 20

Articles: hide open all | hide show old branches

+13 replies
Gustl

2012-08-01 04:55

User since
2011-01-27
441 Artikel
BenutzerIn

Hallo,

ich benötige eine Verschlüsselung von einer Zahl, welche auch wieder entschlüsselt werden kann.

Hintergrund: Ich habe eine id in cgi, diese id wird an einer javascript-funktion übergeben, welche via ajax eine request-cgi-seite aufruft.
damit keiner einfach die Zahl in der funktion wie gewünscht ändern kann, benötige ich diese verschlüsselung.

Bedingung ist, dass die Verschlüsselung auch eine Zahl ist, da ich über die eine DB abfrage die id kontrolliere, da sollten dann keine zeichen drinstehen, sondern nur Zhalen.

Hat wer eine Idee?
Bis jetzt mach ich im cgi script ein * 13 und +12345 mit der id und in der requestseite das ganze dann umgekehrt. -12345 /13. Aber wenn einer seine id kennt, kann er ja auch "leicht" draufkommen.

Gruß Gustl
- bianca
  
  2012-08-01 07:09
  
  User since
  2009-09-13
  6977 Artikel
  BenutzerIn
  
  Ich kenne deinen Gesamtablauf nicht aber ich würde versuchen, dass mit einer Session zu verbinden.
  10 print "Hallo"
  20 goto 10
- +4 replies
- rosti
  
  2012-08-01 08:47
  
  User since
  2011-03-19
  3197 Artikel
  BenutzerIn
  
  Ajax und Verschlüsselung i.Allg.? Spare Dir die Arbeit, Jeder kann Dein JavaScript sehen, es liegt alles offen im HTML-Quelltext.
  
  Du könntest jedoch dafür sogen, dass der Ajax-Request nur von einem UserAgent getätigt werden kann, der sich _vorher_ mit einer durch JavaScript generierten Checksumme auf Deinem Server eingetragen hat (ebenfalls Ajax).
  
  Auf meiner Website findest Du eine einfache JS-Funktion, die ein paar lokale Daten ermittelt, woraus serverseitig eine Checksumme gemacht wird.
  
  --Rosti
  
  Edit: Die JS-Funktion heißt hugo()
  Last edited: 2012-08-01 09:01:59 +0200 (CEST)
  - +3 replies
  - Molaf
    
    2012-08-01 09:04
    
    User since
    2007-10-11
    119 Artikel
    BenutzerIn
    
    Solange die Daten dann zum Server geschickt werden müssen, kann man sie ebenfalls mitlesen und dann ggf. rekonstruieren.
    - +2 replies
    - rosti
      
      2012-08-01 09:32
      
      User since
      2011-03-19
      3197 Artikel
      BenutzerIn
      
      2012-08-01T07:04:53 Molaf
      Solange die Daten dann zum Server geschickt werden müssen, kann man sie ebenfalls mitlesen und dann ggf. rekonstruieren.
      
      Betrachte das Verhältnis von Aufwand und Nutzen: Ich habe wenig Aufwand, den Ajax-Request so zu bauen, dass eine Signatur mitgesendet und serverseitig geprüft wird.
      
      Ein Pfuscher jedoch, der muss ersteinmal rauskriegen was da läuft und sich dann überlegen, ob es sich _für ihn_ lohnt, einen _eigenen_ UA zu bauen, der die Signatur nachbilden kann.
      - Molaf
        
        2012-08-01 13:08
        
        User since
        2007-10-11
        119 Artikel
        BenutzerIn
        
        2012-08-01T07:32:17 rosti
        Betrachte das Verhältnis von Aufwand und Nutzen: Ich habe wenig Aufwand, den Ajax-Request so zu bauen, dass eine Signatur mitgesendet und serverseitig geprüft wird.
        
        Ein Pfuscher jedoch, der muss ersteinmal rauskriegen was da läuft und sich dann überlegen, ob es sich _für ihn_ lohnt, einen _eigenen_ UA zu bauen, der die Signatur nachbilden kann.
        
        Naja, ein paar Seitenaufrufe mit pcap mitschneiden und die Requests vergleichen ...
        Der Aufwand diese Pseudosicherheit umzusetzen für Server und für den Client wächst schneller. Umso größer dann der Schreck, wenn doch mal jemand einen Angriff durchführt, dabei ist doch alles kryptografisch usw..
- +2 replies
- Muffi
  
  2012-08-01 09:06
  
  User since
  2012-07-18
  1465 Artikel
  BenutzerIn
  
  Ich denke du vermischt da manche Sachen.
  Eine Verschlüsselung verhindert nicht, dass jemand die Zahl ändert. Wenn du sowas haben willst brauchst du eine Signatur.
  
  Also erstmal zu klären:
  Willst du eine Verschlüsselung = Man kann die Zahl nicht lesen.
  Oder eine Signatur = Man kann die Zahl nicht ändern.
  1 + 1 = 10
  - Gustl
    
    2012-08-01 15:00
    
    User since
    2011-01-27
    441 Artikel
    BenutzerIn
    
    Hallo,
    
    wie erstelle ich denn eine Signatur?
    
    Gruß
- Molaf
  
  2012-08-01 09:08
  
  User since
  2007-10-11
  119 Artikel
  BenutzerIn
  
  Hallo,
  
  kann es sein, dass Du keine fortlaufendes IDs möchtest?
  Wenn das der Fall ist, könntest Du die ID in Deiner Datenbank speichern und für CGI und Request dann den Hash davon nutzen.
  
  Ansonsten liest sich das ganze wie eine Verschlüsselung für Dich selber, da sehe ich so keinen anderen Sinn.
  
  Gruß,
  Molaf
- +4 replies
- Raubtier
  
  2012-08-01 10:53
  
  User since
  2012-05-04
  1054 Artikel
  BenutzerIn
  
  Wie viele schon geschrieben haben: das hat so keinen Sinn. Du musst auf Serverseite eh irgendwie abfragen, ob der Request so erlaubt ist oder nicht. Ob man nun die ID einfach oder nicht einfach ändern kann, spiele keine Rolle. Du musst nur prüfen, ob der Benutzer das Recht hat, die Daten, die zu einer bestimmten ID gehörten, zu sehen. Wenn du nicht willst, dass jemand die ID sieht, könntest du auch eine Tabelle mit Fake-ID => ID anlegen und dann einfach immer eine neue Fake-ID erstellen, die zu serverseitig zurückverwandeln kannst. Achtung: das befreit dich NICHT von der Prüfpflicht!
  - +3 replies
  - Gustl
    
    2012-08-01 14:54
    
    User since
    2011-01-27
    441 Artikel
    BenutzerIn
    
    Hallo an alle und danke für die Antworten!
    
    Nochmal zur Erklärung was ich genau vorhabe:
    Ich habe ein kleines Bewertungssystem erstellt, es kann ein zb Beitrag von einem eingeloggtem User für gut befunden werden. Durch einen Klick auf einem Bild mit einem Daumen. Der Ersteller dieses Beitrags bekommt dann 20 Punkte gutgeschrieben. Aufgerufen wird das ganze per Javafunktion: onclick='vote(1,34)' wobei der 1. Paramter die ID des users ist und der 2. die ID des Beitrags. Damit hier keiner für anderen Voten kann, und somit nicht "bescheissen" kann, muss der 1.Paramter überprüft werden.
    Im js code rufe ich dann eine Requestseite auf welcher dann der verschlüsselte Paramter(ID) übergeben wird. Erst in diesem Perl-script wird dieser Paramter wieder entschlüsselt.
    
    Mit Ajax habe ich noch nicht so viel Erfahrung. Im Moment läuft meine Anmeldung über ein Cookie mit sessionID (session in db gespeichert). Wenn das Cookie aber nicht existiert, ist der Benutzer ausgeloggt. Jetzt weis ich nicht ob ich in der RequestSeite, welche xml zurückliefert, auch auf die cookies zugreifen kann? Sollte ich mal probieren. :) Dann ist das Thema schon geklärt. Dann übergebe ich nur die BeitragsID und hole mir die id des eingeloggtem users über dem cookie, seesionid.
    
    Gruß Gustl
    - +2 replies
    - Muffi
      
      2012-08-01 15:02
      
      User since
      2012-07-18
      1465 Artikel
      BenutzerIn
      
      Ach, du verschlüsselst in Javascript?
      Keine gute Idee, zumindest nicht auf diesem Weg.
      
      Du kannst bei jedem Request, der beim Webserver reinkommt auf die Cookies zugreifen.
      1 + 1 = 10
      - Gustl
        
        2012-08-01 15:10
        
        User since
        2011-01-27
        441 Artikel
        BenutzerIn
        
        Nein, verschlüsseln tu ich in meinem perl-script welches die Seite ausgibt. Die verschlüsselte ID wird dann in der javascript-funktion (aufruf) eingetragen.
        
        Diese komische Verschlüsselung sieht also niemand, da diese ausschließlich im perl-code ist.
        
        Aber ist jetzt eh hinfällig, ich habe das ganze mit der session erledigt. jetzt brauch ich keine user_id mehr zu übergeben. DDanke.
        
        Wenn ich mein neues Projekt der Öffentlichkeit zumuten kann, werde ich es vorab erstmal hier vorstellen. Hier kann es mal auf Sicherheitslücken getestet werden, ihr scheint euch ja gut auszukennen. :)
        
        Danke euch.
        Bis die Tage!
        
        Gruß
        Last edited: 2012-08-01 15:12:13 +0200 (CEST)

View all threads created 2012-08-01 04:55.