Menu:

• 
• 

secure Login without https

These pages are a little outdated ;)

DE

was ist secure JS-MD5-Login?

Gleich vorweg: JS-MD5-Login hat nichts zu tun mit einem einfachen "MD5 Digest authentication" ! Es ist ehr eine Challenge-Response Authentifizierung oder Challenge Handshake Authentication

Viele, wenn nicht sogar alle, CMS/Wikis/Foren benutzten einen nicht sicheren Login. Dabei wird der Benutzername und das Passwort im Klartext übers Internet geschickt.

Eine sichere Lösung bietet dabei nur https .
Da man bei keinem Provider eine gesicherte HTTP-Verbindung für wenig Geld bekommt, habe ich mir überlegt, wie man dennoch eine sichere Authentifizierung durchführen kann. Wie das genau geschieht kann man im Ablaufplan nachsehen.

Das ganze funktioniert allerdings nur mit JavaScript. Denn beim Client wird das Klartextpasswort mittels Ralf Mieke's JavaScript zu zwei MD5-Prüfsummen umgerechnet.

hinweis

Um es nochmal klarzustellen. JS-MD5 Login bietet keine echte Sicherheit (wie z.B. https)! Gerade beim Anlegen eines neuen Users kann ein Angreifer leicht Zugriff erhalten, wenn er in der lage ist den Datenverkehrs Abhöhren .

Allerdings ist das verwendete Verfahren zumindest für das einloggen wesentlich sicherere als Klartext-Authentifizierung. Außerdem werden auf dem Server keine Klartextpasswörter gespeichert.

Der JS-MD5 Login bietet auch keine Sicherheit gegenüber eines Session Hijacking

Wenn du auf deinem Server https hast, kannst du es natürlich mit JS-MD5 Login kombinieren!

EN

First: JS-MD5-Login does not have to do anything with a simple "MD5 Digest authentication" procedure! It is more a Challenge-handshake authentication protocol

Many, if not even all CMS/wiki/forum, used unsecure Login. User name and password send in plaintext over the Internet. A reliable solution offers only https .

No Provider offers secured HTTP connection for little money :( I considered myself, how i can accomplish a safe Authentifizierung nevertheless.

The whole functions only with Javascript. Because the Client convert the password to two MD5-checksum, with Ralf Mieke's Javascript.

note

JS-MD5 Login is not realy secure in comparison to https!
Not realy secure is to create a new user. An aggressor can receive easily the access, if he in a the position to heard the data traffic , when you create a user.

However the used procedure is safer than plain-text authentication. In addition, on the server no plain-text passwords are stored.

The JS-MD5-Login does not protect you against an Session Hijacking

If you have https , you can combine it with JS-MD5 login!

---

Unterseiten

Links

• Ralf Mieke's MD5 JavaScript
• Python-Forum Threads:
• Sinn oder Unsinn des PyLucids JS-MD5-Login... (12.2006)
• Wie Session-Hijacking verhindern? (12.2006)
• html-LogIn: Passwort mit md5 (06.2005)
• Diskussion auf de.comp.lang.python (08.2006)

permalink

powered by PyLucid v0.8.1pre | Log in | render time: 0.1 ms - overall: 4.0 min - queries: 0 | last modified: 2007-11-29 07:35:29