Hallo,
an der Stelle möchte ich mal (für mich) und hoffentlich auch für andere etwas klären:-)
Mal angenommen ich habe eine ASP.NET Anwendung, welche als Startseite ein Anmeldeformular darstellt.
In diesem gebe ich Username und Passwort ein.
In der Firma auf dem Server läuft die Anwendung und von einer externen Stelle greift der Client darauf zu.
Mal abgesehen von der Authentifizierungsart werden diese Daten ja immer unverschlüsselt übertragen, richtig?
Natürlich kann ich nen VPN Tunnel machen, der veschlüsselt ist, aber die Daten an sich werden immer und zwangsweise im Klartext übertragen.
Technisch ist da ja nichts zu machen, oder?
Hallo schuppsl,
wie wäre es mit Https ?
Viele Grüße
Lars
Hallo schuppsl,
es ist die einzige (und beste) Möglichkeit, wenn Du einen VPN- oder sonstigen sicheren Tunnel vermeiden willst.
Gruß, MarsStein
Non quia difficilia sunt, non audemus, sed quia non audemus, difficilia sunt! - Seneca
Man kann natürlich auf der Seite auch per JScript verschlüsseln oder einen Hash erstellen, und den dann übertragen.
Hallo FZelle,
dann muss man den Code zum Verschlüsseln ja direkt mitliefert - und zwar unverschlüsselt, weil der Browsr das Script ja interpretieren muss.
Das kann man sich IMHO dann auch sparen, weil jeder die Verschlüsselung rekonstruieren kann 🤔
Gruß, MarsStein
Non quia difficilia sunt, non audemus, sed quia non audemus, difficilia sunt! - Seneca
Das kann man sich IMHO dann auch sparen, weil jeder die Verschlüsselung rekonstruieren kann
Nein. Stichwort "asymmetrische Verschlüsselung".
Hallo dN!3L,
womit wir wieder bei HTTPS ankommen. Denn wo sollen bei einer reinen Javascript-Lösung die Schlüssel denn herkommen, ohne vorher was in den Browser zu installieren? Auf der Platte lesen geht ja auch nicht.
Oder hab ich jetzt 'nen dicken Denkfehler?
Gruß, MarsStein
Non quia difficilia sunt, non audemus, sed quia non audemus, difficilia sunt! - Seneca
Denn wo sollen bei einer reinen Javascript-Lösung die Schlüssel denn herkommen, ohne vorher was in den Browser zu installieren?
Der Webserver liefert doch den Scriptcode aus. Da hinein kommt der öffentliche Schlüssel. Der Browser verschlüsselt dann via JS und schickt das Ergebnis an den Webserver. Der (allein) kennt den privaten Schlüssel und kann dann wieder entschlüsseln.
Also - wie du schon sagtest - im Prinzip HTTPS. Nur halt nicht vollständig (ist ja nur die erste Phase des Schlüsseltauschs). Aber man will ja auch nicht verschlüsselt in beide Richtungen übertragen.
Gruß,
dN!3L