Hi,
Ich habe eine kleine Website, bei der man sich über ein Passwort anmelden muss. Ein Zertifikat habe ich mir nicht gekauft und habe es erst mal auch nicht vor. Sicherheit ist auch nicht so wichtig, sensible Daten kann man auf der Seite nicht veröffentlichen.
Dennochwäre es mir lieber, wenn das Passwort und der Benutzername verschlüsselt übertragen würden. Der Vorgang einer SSL Verbindung ist ja nun so schwierig nicht:
Authentifizierung des Servers über ein Zertifikat, Initiierung eines gemeinsamen Geheimnisses, Schlüsselaustausch, Datenübertragung
Sicher ließe sich das mit Hilfe von php und Ajax programmieren, oder?
Bei einem nicht signiertem Zertifikat ist eine Identifizierung des Servers natürlich nicht möglich, Man in the middle Angriffe möglich und man kann es somit auch gleich weglassen. Aber wenigstens der Aufbau eines gemeinsamen Geheimnis und die verschlüsselte Datenübermittlung müsste doch möglich sein, sodass nicht jedes Scriptkid im Starbucks mit einem Wireshark die Passwörter mitlesen kann.
Jemand ne Idee?
Vielen Dank für eure Hilfe
PS: Der Kauf eines Zertifikats ist keine Option. Bin bei einem Webhoster, da kann ich keine nicht signierten Zertifikate benutzen, außerdem möchte ich die 'Diese Seite ist nicht sicher' - Meldung nicht haben.
Ich habe eine kleine Website, bei der man sich über ein Passwort anmelden muss. Ein Zertifikat habe ich mir nicht gekauft und habe es erst mal auch nicht vor. Sicherheit ist auch nicht so wichtig, sensible Daten kann man auf der Seite nicht veröffentlichen.
Dennochwäre es mir lieber, wenn das Passwort und der Benutzername verschlüsselt übertragen würden. Der Vorgang einer SSL Verbindung ist ja nun so schwierig nicht:
Authentifizierung des Servers über ein Zertifikat, Initiierung eines gemeinsamen Geheimnisses, Schlüsselaustausch, Datenübertragung
Sicher ließe sich das mit Hilfe von php und Ajax programmieren, oder?
Bei einem nicht signiertem Zertifikat ist eine Identifizierung des Servers natürlich nicht möglich, Man in the middle Angriffe möglich und man kann es somit auch gleich weglassen. Aber wenigstens der Aufbau eines gemeinsamen Geheimnis und die verschlüsselte Datenübermittlung müsste doch möglich sein, sodass nicht jedes Scriptkid im Starbucks mit einem Wireshark die Passwörter mitlesen kann.
Jemand ne Idee?
Vielen Dank für eure Hilfe
PS: Der Kauf eines Zertifikats ist keine Option. Bin bei einem Webhoster, da kann ich keine nicht signierten Zertifikate benutzen, außerdem möchte ich die 'Diese Seite ist nicht sicher' - Meldung nicht haben.
