Ergebnis 1 bis 14 von 14

Thema: Private Nachrichten und SSL-Verschlüsselung

  1. #1

    Registriert seit
    Aug 2001
    Beiträge
    479
    Renommee
    153

    Private Nachrichten und ssl verschlüsselung

    Die PN's werden ja in der DB einfach und unverschlüsselt hinterlegt und somit eigentlich nicht wirklich geschützt.

    Allerdings ist mir bekannt das das gEb z.b. auf ssl verschlüsslung für die PN's setzt.

    Da ich erlcih gesagt nicht den geringsten schimmer davon habe würd es mich intressieren in wie weit es sicher ist und wo man ein deutsches manuel dazu findet wo man einige sache nach lesen kann.

    Wer nicht genau weis was ich meine bei FN ist ein Thread zum Thema zufinden wo auch AA sich dazu geäusert hat. http://www.forennews.de/board/showth...=&threadid=851
    Was wir brauchen, sind ein paar verrueckte Leute.
    Seht euch an, wo uns die Vernuenftigen hingebracht haben.

  2. #2
    Registered User
    Registriert seit
    Aug 2000
    Beiträge
    829
    Renommee
    29
    Öhm, die SSL - Unterstützung, die das gEb bietet hat nichts mit der Verschlüsselung der PNs zu tun. Dies sind zwei verschiedene paar Schuhe. SSL ermöglicht, dass Daten, die der Server schickt, verschlüsselt werden. Das verschlüsseln der PNs speichert diese eben verschlüsselt in der Datenbank.

    solanum

  3. #3
    Moderatus Emeritus
    Registriert seit
    Jun 2001
    Beiträge
    3.958
    Renommee
    1375
    naja, wenn das gEb auf ssl baut ist das schön, löst das problem aber nicht im geringsten.
    SSL( Secure Sockets Layer http://wp.netscape.com/eng/ssl3/ ) verschlüsselt die Übertragung, nicht die Speicherung.
    Auch da werden die Nachrichten in der DB als Klartext gespeichert und jeder Admin kann mitlesen.

    Die beste Lösung ist (wie überall im Netz): Schreibe nur, was Dein Admin lesen darf oder verschlüssele selber.

    ORB

  4. #4

    Registriert seit
    Aug 2001
    Beiträge
    479
    Renommee
    153
    Ok da hab ich mich wohl etwas vertan, dennoch würd mich ein manuel zum thema sehr intressieren. Auf english weis ich wo ichs finde doch deutsch wärs für mich besser.
    Weis da einer was ??
    Was wir brauchen, sind ein paar verrueckte Leute.
    Seht euch an, wo uns die Vernuenftigen hingebracht haben.

  5. #5
    Member
    Registriert seit
    Oct 2000
    Beiträge
    537
    Renommee
    10
    So ganz vertan hast du sich da nicht. SSL hat zwar eigentlich mit der Verschlüsselung von PN's nicht viel zu tun, wie aber AA in dem von dir geposteten Thread gesagt hat, verwendet das gEb die funktionen die die OpenSSL Extension für PHP (http://www.php.net/manual/en/ref.openssl.php) bereit stellt, um die PN's asymetrisch zu verschlüsseln.

    In der Praxis dürfte das aber nicht viel bringen, denn da die Daten auf dem Server ver- und entschlüsselt werden, musst du deinen Privatekey angeben, und nichts hindert einen Admin daran, einfach die eingebenen Keys mitzuloggen.. (auch die verwendung von SSL, diesmal im richtigen Sinne, ändert daran nix)
    wirklich reich sind die, die mehr träume haben als die realität zerstören kann

    http://pgp.mit.edu:11371/pks/lookup?...Cano2&op=index

  6. #6

    Registriert seit
    Aug 2001
    Beiträge
    479
    Renommee
    153
    Sicherlich kann ein Admin die keys mitloggen, allerdings wer macht sich erst die arbeit des zeug einzubauen um dann die ganzen keys mitzuloggen ?

    Mich würde das ganze nur mal intressieren wie man soetwas umsetzen kann das die PN's verschlüsselt werden ?
    Was wir brauchen, sind ein paar verrueckte Leute.
    Seht euch an, wo uns die Vernuenftigen hingebracht haben.

  7. #7
    Registered User
    Registriert seit
    Aug 2000
    Beiträge
    4.985
    Renommee
    903
    sobald die verschluesselung auf dem server laeuft bringt es nichts, weil der admin problemlos alles mitlogen kann. Also muesste die verschluesselung auf dem clientrechner laufen. Da JS aber nicht dazu geeignet ist bleibt eigentlich nurnoch java, oder ein eigenstaendiges programm und dann halt private und public key, wo wir bei pgp, oder etwas in die richtung sind. Aber es mag wohl auch applets dafuer geben.

    stefan

  8. #8
    Member
    Registriert seit
    Oct 2000
    Beiträge
    537
    Renommee
    10
    Sicherlich kann ein Admin die keys mitloggen, allerdings wer macht sich erst die arbeit des zeug einzubauen um dann die ganzen keys mitzuloggen ?
    Wer macht sich die arbeit, sowas zu basteln, wenn er sich die mails seiner user soweiso ned anguckt, und es keine echte sicherheit bringt?

    Mich würde das ganze nur mal intressieren wie man soetwas umsetzen kann das die PN's verschlüsselt werden ?
    WAs brauchts du mehr asl den Link oben?

    =>

    openssl_private_decrypt -- Decrypts data with private key
    openssl_private_encrypt -- Encrypts data with private key
    openssl_public_decrypt -- Decrypts data with public key
    openssl_public_encrypt -- Encrypts data with public key

    musst halt noch einen pool mit public keys anlegen, und immer den richtigen verwenden
    wirklich reich sind die, die mehr träume haben als die realität zerstören kann

    http://pgp.mit.edu:11371/pks/lookup?...Cano2&op=index

  9. #9
    LouChipher
    Guest
    Die Diskussion um den Nutzen bzw. Unnutz von verschlüsselten
    PN's hatte ich schon mit AA vor deren Einführung im gEb. Fakt ist,
    dass es nur Sinn macht wenn die PN's schon auf dem Heimrechner
    verschlüsselt werden und der Key nicht über den Server wandert...
    Ansonsten sind, wie AA auf phpBB kürzlich schrieb, die
    '_Privaten_ Nachrichten' keine 'Privaten Nachrichten'.

    Grüßle
    Lou

  10. #10
    Registered User
    Registriert seit
    Jun 2000
    Beiträge
    3.883
    Renommee
    719
    bei eine verschlüsselung wie es geb einsetzt (mit schlüsselpaare) läuft man gefahr, dass wenn diese schlüssel "kaputtgehen" man auch mit das passwort nicht mehr auf die Nachrichten zugreifen kann (z.B. durch festplattenprobleme wie sie beim geb aktuell aufgetreten sind, ich bin gespannt ob sie alles wiederherstellen können).

    wenn man schon von vorneherein weiss, dass es sich nur um ein pseudoschutz handelt (oder ein blender um die user ein gefühl von sicherheit vorzutäuschen den sie nicht haben)hätte ich ein einfacheres synchrones-verschlüsselungsmethode benutzt wie z.B. blowfish, anstatt ein ansynchrones verfahren. sowas kann man auch einfacher in ein java applet auslagern (wie oben geschrieben) um eine "echte" verschlüsselung der nachrichten zu erzielen, ohne dass der admin eine möglichkeit hat sich der schlüssel dafür zu ermächtigen.
    das kann man bestimmt auch in bash coden ...

  11. #11

    Registriert seit
    Aug 2001
    Beiträge
    479
    Renommee
    153
    Hmm.. also bringt die ssl verschlüsslung im endeffekt garnichts!?
    Was wir brauchen, sind ein paar verrueckte Leute.
    Seht euch an, wo uns die Vernuenftigen hingebracht haben.

  12. #12
    Registered User
    Registriert seit
    Aug 2000
    Beiträge
    829
    Renommee
    29
    Die SSL Verschlüsselung ist etwas anderes! Sie verschlüsselt den Datentransfer zwischen Browser und Server. Die PN Verschlüsselung speichert die PNs verschlüsselt in der Datenbank.

    solanum

  13. #13
    Member
    Registriert seit
    Jul 2001
    Beiträge
    21
    Renommee
    10
    bitboy0 hat für das phpbb2 so einen Hack geschrieben.

    Hier der Link -> http://www.phpbb.de/viewtopic.php?t=...er=asc&start=0

    Swister

  14. #14
    Member
    Registriert seit
    May 2002
    Beiträge
    32
    Renommee
    10
    [ZITAT]Original geschrieben von Swister
    bitboy0 hat für das phpbb2 so einen Hack geschrieben.

    Hier der Link -> http://www.phpbb.de/viewtopic.php?t=...er=asc&start=0

    Swister
    [/ZITAT]

    Jep und ist auch schon von Rene entdeckt worden:

    http://www.forennews.de/board/showth...&threadid=1112

    Schutti

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. [C++] Private Variablen in Templates
    Von STiAT im Forum C / C++
    Antworten: 4
    Letzter Beitrag: 24.05.2002, 17:51
  2. Öffentlich und private Objektmodule
    Von Evil-Hunter im Forum VisualBasic / VBScript
    Antworten: 4
    Letzter Beitrag: 05.12.2001, 21:12
  3. Private Telefonanlage abhören
    Von george_d im Forum (Mobile) Kommunikation
    Antworten: 4
    Letzter Beitrag: 07.11.2001, 09:22
  4. Private oder Public
    Von AMFA im Forum VisualBasic / VBScript
    Antworten: 2
    Letzter Beitrag: 17.08.2000, 22:16

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •