Kann man irgendwie die Werte aus einemr HTML Form abfangen (im script) und verändern bevor sie mit get oder post an die nächste seite geschickt werden. Also ich meine mit PHP - mit javascript weiß ich das es geht?

ajax?

Ja es tut mir leid, ajax hat mir leider überhaupt nichts gesagt in dem zusammenhang - muss ja nicht immer sein das ein post sinnvoll ist.

Vielleicht könntest du ja postings machen die mehr als ein wort umfassen, dann würde sich jeder auskennen.

Ja jetzt weiß ichs auch

OK ich verwend jetzt nicht ajax, aber javascript.

Ich möchte nun meine daten die über POST gesendet werden mit einer mehrwegverschlüsselung mit key versehen. Nun hab ich den encode und decode algorithmus. Soweit so gut, der is unsichtbar und keys können per session variable übermittelt werden.

Das funktioniert überall wo man nichts in formen eintragen kann.

Dafür brauch ich, wie schon gesagt, eine client script sprache, eben js.
- nun das problem is das jeder den source code des veschlüssleungs algorithmus, und den aktuellen key im quelltext sehen kann.
Ich include eine funktion aus einer anderen js datei, nur eben die kann jeder im klartext sehen. Und den key der übergeben wird, der is auch ersichtlich.

Gibts da einfache tipps wie ich das verhindern kann?

Ja aber ernsthaft, ich will ja uch nicht das der key der an die js function übergeben wird sichtbar wird....

Zitat von maciek

das ist ein gutes Zeichen dafür, dass Du versuchst etwas clientseitig zu machen, was Du nicht tun bzw. serverseitig tun solltest.

Ja wenn ich forms mit php vor dem abschicken verändern könnte, würde ich es machen... aber wie soll ich daten verschlüsseln ohne sie zuvor zum sever zu schicken?!

ssl is mir zu teuer.

Zitat von mdk

public-key? nur so ein gedanke

EDIT: also die situation ist folgende: du möchtest formulardaten verschlüsselt submitten?

So ist es - aber nicht nur das, sonder auch das niemand die schlüssle etc. sieht die an javascript übergeben werden.

Also mal so ein denkansatz: ich habe login.php wo das formular drinsteht und der key mit php script erzeigt wird. Im formular steht eine function encrypt(); die auf eine datei encrypt.js referenzziert. Kann ich jetzt irgendwie eine datei encrypt.php drausmachen in der der key direkt mit einer session variable übertragen wird. Daher müsste in der login.php der key nicht an die function encrypt() übertragen werden.. naja geht glaub ich ned so..

Zitat von JohannesBuchner

oje da hat jemand was missverstanden.
Wenn du Daten verschlüsseln willst verwende HTTPS.
Wenn du ein Passwort "unsichtbar" übertragen willst, nimm MD5 oder SHA1. Wenn du ein Passwort sicher übertragen willst, schau dir CHAP an (hab ich schonmal in Javascript programmiert - einfach).

Wenn du nicht die Möglichkeit hast auf https umzusteigen, aber unbedingt clientseitig eine Lösung haben willst, musst du dir (wie obiger Kollege schon angemerkt hat) Asymmetrische Verschlüsselungsverfahren ansehen. Das wird dann ein bisschen kompliziert.

Auf jeden Fall such dir existierende Libraries! Versuch nicht, selbst was zu entwickeln!

Danke für den Tipp - werd mir das CHAP mal anschaun...

Mal noch so ne theoretische Frage: Wenn man POST daten abhören möchte muss man ja die IP des jeweiligen cleint wissen... und wie sollte man die bekommen?

Ok CHAP scheint perfekt für login anwendungen, hat sich auch in ner stunde in "umbauen" lassen - nur hat jemanden einen (guten) fix und fertig "public-private-key asymmetric en/decoder" (php decoder und encoder UND javascript encoder) oder eben eine link dazu?

Ich hab nur das gefunden: http://shop-js.sourceforge.net/
aber da scheint die java encryption datei zu fehlen und decoden is nur in perl und ich kann perl nicht.