Sikker POST uden bruge af SSL

Der er ikke rigtig nogen sikker måde med JavaScript, vil jeg selv mene - en person der får sniffet det krypterede brugernavn og kodeord vil typisk også kunne se hvor formularen er sendt fra, så man så kan se hvordan man skal gribe afkodning an ved at kigge på kildekoden.

Dertil kommer der også det at du ikke kan være sikker på at brugeren har JavaScript aktiveret, hvilket du også kan blive nødt til at tage højde for.

hvad kan du så få ud af det her:

username = 4bddec009adb50
password = 50c8e71599d0
rc4key = 14412570 22216077 21593660 21262846 ....

Det er faktis det som er sendt (alt efter hvad der er skrævet)

Du kan så prøve at skrive samme brugernavn og adgangskode og samline den kode som kommer ud af det.

Er det en netværkssniffer du vil beskytte imod?

Du er jo nød til at have den samme krypteringsnøgle på serveren som du bruger du bruger på klienten - ellers kan du ikke dekrypterer brugernavn og kodeord. Og så vil du jo have krypteringsnøglen et eller andet sted i dit klientscript?

Hvad med at lave en hash (f.eks. MD5) af brugernavn og kodeord på klienten - og så have brugernavn og kodeord gem hashet i din database på serveren?

Det vil ikke beskytte dig imod at nogen sender de samme data igen, men du vil ikke afslører brugernavn og kodeord.

Ja som sådan skal der vel beskyttes mod alt.. Nu kenner jeg ikke alt det hackker tools som der kan bruges..

Ja nu siger du godt nok MD5.. men den nøgle kan da også nemt ses i en sniffer.. og så behøver en hacker jo ikke
at vide hvad brugernavn og adgangskode.. han skal bare sende den MD5 nøgle..

Krypteringsnøgle på client/server.. nej det er her RSA algorithm kommer ind i billede..
RSA er lavet så smart at du skal bruge 3 forskellige nøgler, hvor den ene er en fældes nøgle..

RSA Algorithm:
http://world.std.com/~franl/crypto/rsa-guts.html
http://world.std.com/~franl/crypto/rsa-example.html

Min lille test går kun på at sende "noget" data til serveren som er beskyttet.. (altså IKKE den anden vej)

pidgeot:
Hvor mange har IKKE JavaScript aktiveret? man kan ikke se mange sider hvis den ikke er aktiveret..

I må godt smide et svar for jeres deltagelse.. da der ikke er noget som sådan at hjælpe med :-)

<ole>

sjh >> MD5 er en hashing (ikke en kryptering), hvilket betyder, der ikke skal bruges nøgle  ;o)

/mvh
</bole>

Davs Ole

det jeg mener er at MD5(brugernavn og adgangskode) giver en nøgle som man tjekker i en database.. men en "hacker" kan jo også se den MD5 nøgle og bare sende den nøgle til server.. så er "hackkeren" jo kommet ind uden at kende brugernavn og adgangskode.

Okay, så forstår jeg. Ordet 'nøgle' plejer bare at blive brugt om en streng, der skal bruges for at dekryptere en anden streng ... det var det, der forvirrede 'cellen'  ;o)

Kan i ikke smide et svar for jeres deltagelse..

Jeg skal ikke have points for at misforstå en spørger ... men tak for tanken  ;o)

Ja når i ikke vil smide et svar.. så må jeg jo tag mine point tilbage..

men tak for hjælpen

... anytime  ;o)