Hallo Thomas wie Claudius schon sagte, ist meine L�sung nicht 1:1 mit MD5 zu verwirklichen. Dass ein Hash ein MD5 sein k�nnte, kann man halt recht einfach erraten. Es gibt allerdings einen Trick:
Session-ID: 1234 Man h�ngt ein Passwort an (hier: "geheim") -> 1234geheim Macht den MD5: FAA5FFE3DBB9F9754C9C15E15192FB95 �bergibt seite.php?id=1234&check=FAA5FFE3DBB9F9754C9C15E15192FB95 Auf der PHP-Seite h�ngt man das Passwort an die id wieder an und macht nochmal den MD5, um die Integrit�t zu pr�fen. Da das Passwort nur der ASP- und PHP-Seite bekannt ist, sind wir auf der sicheren Seite. So "funzt" es! Gru� Markus -----Urspr�ngliche Nachricht----- Von: Thomas Bandt [mailto:[EMAIL PROTECTED]] Gesendet: Freitag, 31. Mai 2002 21:57 An: AspGerman Kaffeehaus Betreff: [aspdecoffeehouse] AW: RE: AW: ASP in PHP > > > Du schickst das Ergebnis �ber den QueryString, verschl�sselst es > > > aber vorher irgendwie, h�ngst noch eine Checksumme an, damit die > > > Empf�ngerseite inkonsistenzen erkennt (falls jemand einfach > > > rumprobiert und Zeichen im QString �ndert, soll auf der > PHP-Seite ja > > > nicht statt "12345" "123FH" rauskommen k�nnen). > > > > > > Bei 4guysfromrolla.com habe ich schon den einen oder > anderen Artikel > > > zu diesem Thema gesehen. Such einfach mal nach "encrypt". Die > > > Decrypt-Routine m�sstest Du halt auf PHP �bersetzen. > > > > Gar nicht n�tig, sondern eher umgekehrt ;-) Man nehme einfach md5. > > Und wenn der Angreifer die Daten �ndert und dann auch md5 ausrechnet?? > ;-) dann schaut's nat�rlich schei�e aus... ;-) aber eigentlich wollte ich ihm ja nur sagen wie es funzt :-) > Claudius | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv Sie | k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.as | p | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
