Querystring verschlüsseln / entschlüsseln

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    index.php?mod=finanzen&jahr=2004&function=ausgaben
    index.php?mod=adressbook&contactID=20

    Warum sollte man solche Links nicht verschlüsseln ?
    Es ist nur ein Beispiel.
    naja, ... wieso sollten man diesen querystring verschlüsseln, also was steht da drin, was der user nicht wissen darf - oder anders herum: dein script sollte schon die $_GET/$_POST auf sinn und korrektheit etc. untersuchen, dann kann es dir brust sein, was der user eingibt, da nur gültige eingaben verwendet werden ....

    das halte ich für effektiver, als die url zur verschlüsseln ...
    [/ot]
    Die Zeit hat ihre Kinder längst gefressen

    Kommentar


    • #17
      Original geschrieben von Dejan
      ist immer noch sicherer, als wenn ich z.B. statt ID=20 die URL ind ID=21 verändere. Klar kann ich es mit Session, Berechtigungskonzept sowas abfangen und prüfen. Nur warum so umständlich, wenn es doch einfacher geht ?
      nur mal so zum verstehen:

      angenommen userid 20 gehört zu mir und userid 21 gehört zu dir

      du willst ja sicher nicht, dass ich deine persönlichen daten sehe oder?

      so wie ich das verstandenh abe, beruht dein schutz darauf, dass ich nicht weiß, wie der link zu deinen daten aussieht, da du den verschlüsselst?

      angenommen, ich setze mich nach dir an den pc an dem du gearbeitet hast und schaue mir den verlauf an...
      meinst du nicht, da is der link zu deinen daten zu finden?
      und abrakadabra... ich seine persönlichen daten, weil der schutz dann ausgeheblt is

      schau dir doch mal das tutorial von mir an, is eigentlich nich schwer
      Ich denke, also bin ich. - Einige sind trotzdem...

      Kommentar


      • #18
        @MelloPie:

        ich bedanke mich doch bei Dir, für deine Hilfe, gar keine Frage.
        Nur irgendwie kann es nicht sein, wenn ich z.B. Autohändler sage, ich will ein Cabrio kaufen, fängt er mit mir darüber zu diskutieren, ob Kombi mit gelben Felgen oder Mini Cooper mit 220er Bereifung für mich besser wäre.
        Nimm es nicht persönlich, aber ich wollte nur paar Möglichkeiten zu meiner Frage. Die Diskussion über Session oder POST ist zwar schön, hat aber mit dem eigentlichen Thema "Verschlüsselungsmethode" nichts zu tun !

        @mrhappiness:

        mcrypt gefällt mir schon, nur solche Funktionen müssen funktionieren, ohne dass man irgendwelche Dateien in System32 übertragen werden müssen (beim Windoof). Meine Entwicklungsumgebung ist auf einem USB Stick und da soll die auch bleiben (also WAMPP).

        Die Idee mit MD5 Code => QueryString finde ich gar nicht mal so schlecht, wäre auch eine nette Möglichkeit.
        Da ich natürlich faul bin *g*, wollte ich es mir einfach machen :-)

        Zweck der Verschlüsselung ist Script mit dem ich z.Z. beschäftige (ein sagen wir mal Personal Portal). Um die benötigte Sicherheit zu haben, habe ich mir gedacht, dass eine Verschlüsselung des Querystrings, auch nach Freigabe des Quellcodes mich von irgendwelchen "möchtegern" Hackern bewahren soll.

        Gruß
        Dejan
        Zuletzt geändert von Dejan; 27.01.2004, 19:18.

        Kommentar


        • #19
          Original geschrieben von Dejan
          Um die benötigte Sicherheit zu haben, habe ich mir gedacht, dass eine Verschlüsselung des Querystrings, auch nach Freigabe des Quellcodes mich von irgendwelchen "möchtegern" Hackern bewahren soll.
          aha

          kannst du mir das so erklären, als wäre ich sechs jahre alt?
          Ich denke, also bin ich. - Einige sind trotzdem...

          Kommentar


          • #20
            Original geschrieben von Dejan
            Nur irgendwie kann es nicht sein, wenn ich z.B. Autohändler sage, ich will ein Cabrio kaufen, fängt er mit mir darüber zu diskutieren, ob Kombi mit gelben Felgen oder Mini Cooper mit 220er Bereifung für mich besser wäre.
            Ein guter Autohändler wird, wenn Du auf ein am Zaun gelehntes Fahrzeug deutest und sagst "Ich will dieses Cabrio kaufen", dich zumindest darauf hinweisen das es sich um sein Fahrrad handelt ...

            ... oder ... um es mit Forrest Gump zu sagen: "Dumm ist der der dummest tut!".
            carpe noctem

            [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
            [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

            Kommentar


            • #21
              @goth:

              Danke für dein Hinweis, wie gesagt, nicht jeder besitzt den benötigten geistigen Reichtum.

              @mrhappiness:

              also, ich habe ein String. Ich verschlüssele den vor der Anzeige mit einem zusammengesetzten Schlüssel (aus SID, Remote_Host und den persönlichen eingegebenem Schlüssel). Später soll dieser verschlüsselter String mit zusammengesetzten Schlüssel wieder entschlüsselt werden.
              Mehr soll es net sein !
              Ich hoffe, dass ich verständlich genug für jeden sechs jährigen war (kleiner Scherz)

              Kommentar


              • #22
                Nur mal so die Grundlagen eines Menus:

                Hier dein Menu:
                Home (index.php?sid=123&action=home)
                Downloads (index.php?sid123&action=downloads)
                etc...
                in der PHP-Datei prüfst du dann nach was angeklickt wurde:

                if( $_GET['action'] == 'home' )
                {
                echo 'Home';
                }
                elseif( $_GET['action'] == 'downloads' )
                {
                echo 'Downloads';
                }
                etc... (geht besser mit switch)
                Vorher prüfst du natürlich ob der User mit der sid überhaupt den Bereich betreten darf...Dabei brauchst du NICHTS zu verschlüsseln...

                OffTopic:
                Verschlüsseln eines Menus...Das hab ich noch nie gehört _D

                Kommentar


                • #23
                  Original geschrieben von Dejan
                  also, ich habe ein String. Ich verschlüssele den vor der Anzeige mit einem zusammengesetzten Schlüssel (aus SID, Remote_Host und den persönlichen eingegebenem Schlüssel).
                  wo kommt die SID (Sesion-ID?) her?

                  ich hab das prinzip nicht so ganz verstanden:
                  index.php?view=20 ist gefährlich, weil ich das einfach in index.php?view=21 umändern kann und andere daten sehe?

                  index.php?view=ykdhf32r43r3 ist sicherer?
                  weil ich nicht weiß, dass es für die 21 index.php?view=453r7hd3x heißt?
                  Ich denke, also bin ich. - Einige sind trotzdem...

                  Kommentar


                  • #24
                    Genau, es ist sicherer, weil der jenige, der den Script benutzt überhaupt nicht sieht, welche Module geladen oder Parameter übergeben werden.
                    Also, rein theoretisch würde QueryString für index.php?view=20 bei Dir anders aussehen als bei mir !

                    Kommentar


                    • #25
                      was mir aber egal is, da ich ja nur den link an sich kennen muss, um auf die daten zugreifen zu können
                      und das mach ich zur not mit brute-force

                      anders aussehen wird er übrigens nur wegen dem persönlichen schlüssel, da du die IP nicht nehmen kannst (proxy, aol, ...)

                      du willst also sowas in der art machen machen
                      PHP-Code:
                      ?php
                      session_start
                      ()

                      function 
                      encode_link($param)
                      {
                        return 
                      $_SESSION['private key'].$param;
                      }

                      function 
                      decode_link($param)
                      {
                        return 
                      substr($paramstrlen($_SESSION['private key']));
                      }

                      echo 
                      '<a href="index.php?action='.encode_link('view=20').'">Userdaten</a>';

                      $param=explode('='decode_link($_GET['action']))
                      $_GET[$param[0]]=$param[1];

                      echo 
                      'Sie wollen '.$_GET['view'].' sehen';
                      ?> 
                      warum nicht so?
                      PHP-Code:
                      <?php
                      session_start
                      ();
                      if (!
                      logged_in())
                        die(
                      'du nix angemeldet');

                      if (
                      $_GET['view']!=$_SESSION['user_id'] and !is_admin())
                        die (
                      'du nix duerfe gucke');

                      echo 
                      'Sie wollen '.$_GET['view'].' sehen';
                      ?>
                      nachteil deiner variante und vorteiler meiner: wenn ich deine verschlüsselte info für view=21 habe, hab ich auch die dazugehörigen daten; wenn bei mir einer aus view=20 einfach view=211 macht, fliegt er auf die schnauze, da das system erkennt, dass ihn das nix angeht

                      ganz nebenbei find ich meinen vorschlag auch weniger umständlich
                      Ich denke, also bin ich. - Einige sind trotzdem...

                      Kommentar


                      • #26
                        @mrhappiness:

                        Das mit IP Addy, habe ich mir schon gedacht, ich habe es auch im meinem ersten Thread erwähnt:

                        IP Addresse (obowhl Proxy dabei das Problem sein könnte)
                        wenn ich deine verschlüsselte info für view=21 habe, hab ich auch die dazugehörigen daten;
                        Nicht ganz, so lange ich mein eingenen KEY oder deinen persönlichen Schlüssel nicht habe, so lange hat man keine Möglichkeit es ganz genau zu entschlüsseln, genau das war meine Idee.

                        Und genau hast Du es selber erkannt, die Sache mit Session ist einfach umständlich (alle mögliche Parameter müsseb abgefangen werden).
                        Zuletzt geändert von Dejan; 27.01.2004, 20:06.

                        Kommentar


                        • #27
                          Original geschrieben von Dejan
                          @Goth: Tja, den geistigen Reichtum besitzt nicht jeder !
                          Traurig aber wahr ... und auch Du hast mich enttäuscht ... !
                          carpe noctem

                          [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                          [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                          Kommentar


                          • #28
                            Original geschrieben von goth
                            Traurig aber wahr ... und auch Du hast mich enttäuscht ... !
                            Tja, wenn jeder Newbie so herzlich empfangen wird, finde ich hier sehr angenehm weiterhin meine Fragen zu stellen.

                            Kommentar


                            • #29
                              ups...Fehler passiert !

                              Kommentar


                              • #30
                                Original geschrieben von Dejan
                                Nicht ganz, so lange ich mein eingenen KEY oder deinen persönlichen Schlüssel habe, so lange hat man keine Möglichkeit es ganz genau zu entschlüsseln, genau das war meine Idee.
                                ich muss doch den verschlüsselten link nicht entschlüsseln, es reicht, wenn ich die verschlüsselte darstellung habe!
                                Und genau hast Du es selber erkannt, die Sache mit Session ist einfach umständlich (alle mögliche Parameter müsseb abgefangen werden).
                                ich hab geschrieben dass meine variante weniger umständlich ist...

                                wenn du sowieso schon mit sessions arbeitest, warum machst du es dir dann so schwer?

                                meine variante wäre ein pförtner im foyer, der nicht jeden überall hinlässt (du darfst in dein büro, ich darf in mein büro, chef und putze dürfen in alle büros)
                                deine variante sieht so aus, dass du die bürotüren mühsam mit tarnfarben anpinselst und darauf vertraust, dass schon niemand die türen von anderen mitarbeitern findet. sollte das doch passieren...
                                gut nacht und viel spaß beim neustreichen
                                Ich denke, also bin ich. - Einige sind trotzdem...

                                Kommentar

                                Lädt...
                                X