Hab mal ne Frage: Ich hab eine Seite, auf die aber nur ein paar leute zugriff haben sollen. Eine Schutz per Passwort reicht hierbei leider nicht aus :(
Als idee hatte ich, dass das Script die PGP Public Keys der leute kennt, die sich einloggen können und nur, wenn jemand den entsprechenden private key hat, kann er mit zusätlichem passwort die seite betreten.
Hat einer ne Ahnung, ob und wie man des machen könnte?
PHP Script per PGP-keys geschützt; geht das?
Re: PHP Script per PGP-keys geschützt; geht das?
hmmm, jetzt erklär mir mal bitte wo bei deinem beispiel der unterschied ist ob er sich mit nem private key einloggt oder mit nem passwort ? das läuft doch auf exakt das selbe raus, oder ?
Re: PHP Script per PGP-keys geschützt; geht das?
Nein, nicht wirklich, denn:
-ein Passwort kann der user an jemand anderes weitergeben und man kann es nicht so leicht nachvollziehen. Seinen Private Key weiterzugeben ist da schon ein wenig heikler ;)
-Gibt jemand das pw in die öffentlichkeit, können, bevor man es merkt, viele die seite betreten.
-ein Passwort kann der user an jemand anderes weitergeben und man kann es nicht so leicht nachvollziehen. Seinen Private Key weiterzugeben ist da schon ein wenig heikler ;)
-Gibt jemand das pw in die öffentlichkeit, können, bevor man es merkt, viele die seite betreten.
-
outofbound
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: PHP Script per PGP-keys geschützt; geht das?
Hi,
mit pgp nicht direkt, aber
evtl (und mit JavaScript) könntest du das
selbst machen, bzw. ein HMAC- System
verwenden.
Im aktuelen php-magazin ist da ein Artikel
drüber drin mit Sourcen.
Gruss,
Out
PS: Wenn die Sicherheit so hoch sein soll, dann hat es
auf öffentlichen Webseiten nichts zu suchen. ;)
--> Bau mit php gtk ein eigenes "Tool" zum
anzeigen der Seiten, so dass man Tool + Pass + Key
benötigt, und greif über einen SSH- Tunnel auf
die Seiten zu.
mit pgp nicht direkt, aber
evtl (und mit JavaScript) könntest du das
selbst machen, bzw. ein HMAC- System
verwenden.
Im aktuelen php-magazin ist da ein Artikel
drüber drin mit Sourcen.
Gruss,
Out
PS: Wenn die Sicherheit so hoch sein soll, dann hat es
auf öffentlichen Webseiten nichts zu suchen. ;)
--> Bau mit php gtk ein eigenes "Tool" zum
anzeigen der Seiten, so dass man Tool + Pass + Key
benötigt, und greif über einen SSH- Tunnel auf
die Seiten zu.
-
majortermi
- Userprojekt
- Posts: 916
- Joined: 2002-06-17 16:09
Re: PHP Script per PGP-keys geschützt; geht das?
Doch, geht schon.OutOfBound wrote: mit pgp nicht direkt
Ein PHP-Skript erzeugt einen zufälligen String - der User muss diesen mit seinem privaten Schlüssel signieren und die Signatur zurück an den Server schicken - dort wird diese mit Hilfe des öffentlichen Schlüssels überprüft. Insgesamt ein relativ sicheres Verfahren.
Ich behaupte aber, dass es einfachere Lösungen gibt, die wahrscheinlich auch noch eine Spur sicher sind:
* SSL mit clientseitigen Zertifikaten (ja, das geht)
* IPsec (am besten auch mit X.509 Zertifikaten) - dürfte wohl mit Abstand das sicherste sein, weil ein Angriff einen Bug in der IP-Implementierung des Kernel oder in IPsec voraussetzt (oder natürlich einen User, der zu blöd ist auf den Private-Key bzw. die Passphrase aufzupassen).
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
Warum man sich an diese Reihenfolge halten sollte...
Re: PHP Script per PGP-keys geschützt; geht das?
schonmal http://www.gnupg.org/(en)/related_softw ... tends.html angesehen? Eventuell ist ja etwas verwertbares dabei...