md5-verschlüsselung vor Absenden in Formular

Computer: Software & Programmierung PHP
#1

Hallo,

ich habe ein html-formular, in welches ich verschiedene Daten eingeben lasse, u.a. auch ein passwort.
Nun möchte ich dieses Passwort gerne über md5() verschlüsseln.
Allerdings komme ich immer nur auf die Lösung, das Formular abzuschicken und dann den passwort-wert aus dem POST zu holen, um ihn dann zu verschlüsseln und in die DB zu schreiben.

So wird das Passwort aber ja mind. einmal unverschlüsselt versendet.

Kennt jemand zufällig eine Möglichkeit, das Passwort vor dem submit zu verschlüsseln?
z.B. den wert des passwort-inputs im form zu verändern oder so?

Ich finde hier leider nichts und hoffe, dass von euch jemand eine Idee hat.

Ich würde das ganze gerne rein in html/php realisieren, ohne javascript o.ä.

Gruß,
Micha

#2

Kennt jemand zufällig eine Möglichkeit, das Passwort vor dem submit zu verschlüsseln?
Ich würde das ganze gerne rein in html/php realisieren, ohne javascript o.ä.

PHP läuft auf deinem Server, also kannst du es auch nur da „verschlüssel“, genauer gesagt den MD5 Hash bilden.

Du kannst es natürlich auf den Client mit Javascript verändern. Aber das bringt kein Plus an Sicherheit. Beim Login würde ja das selbe Passwort übertragen. Ob ein Hacker jetzt das Clientseitig verschlüsselte Wort oder direkt das Passwort an deinen Server sendet ist Wurscht.

Wenn es wirklich Sicher übertragen werden soll, musst du https nehmen.
Dann bekommt kein Mensch mit, was da übertragen wird.

#3

Hallo,

danke für deine Antwort.
meine website liegt bei 1und1 und ich hab den eindruck, mir steht das https dort nicht zur Verfügung :frowning:
Dann bleibt mir also vermutlich nur, das Passwort zu senden und dann den md5-Hash zu bilden und dies dann in die DB zu schreiben.
Ist ja wenigstens etwas.

Eine andere Methode als über https ist also ja auch nix.

Bei 1und1 steht in der help, dass man einen gewissen inhalt in eine .htaccess schreiben soll, diese dann in das document_root speichert und so würde man dann in den https weitergeleitet.
Hab das versucht, doch da wird meiner Meinung nach nix weitergeleitet; es steht immer noch als Adresse http und es wird auch keine sichere Leitung angezeigt.
Vermutlich hab ich dann ein zu kleines Paket (1&1 Home 5.0), in welchem das wohl nicht mit drin ist.

hmm…

Gruß,
Micha

#4

Auf dem Client mit JS verschlüsseln ist unter http://aktuell.de.selfhtml.org/artikel/javascript/md5/ beschrieben, inkl. des JS-Codes.

Ein Plus an Sicherheit kann das schon bringen, und zwar dann, wenn nicht nur das Passwort verschlüsselt wird, sondern der Server eine Zufallszahl generiert, speichert (Session) und im Formular mit überträgt, und der Client dann Zufallszahl + Passwort per MD5 verschlüsselt. In der Antwort kann der Server dann die Zufallszahl aus der Session (wichtig, nicht den Formulardaten, damit der Client nicht die gleiche vorgeben kann) lesen und damit das Passwort prüfen. Damit bringt ein abgefangener MD5-Hash nichts mehr, weil zusätzlich auch die vom Server vorgegebene Zufallszahl übereinstimmen müsste.

#5

ohne Javascript bekomstes nicht hin, aber mit geht das:
http://pajhome.org.uk/crypt/md5/auth.html