Url Parameter verschlüsseln

Hallo!

Ich muss einige Parameter per Url an eine fremde Seite übergeben. Die
Paramter sollten nicht lesbar sein.

Beispiel:
www.fremdeseite.de?shopnr=12345&kdnr=6789

Die Werte von "shopnr" und "kdnr" sollten nicht lesbar sein.

In PHP habe ich zum verschlüsseln nur base64 gefunden. Aber wenn ich
es damit verschlüssele kann doch jeder der sich ein wenig mit php
auskennt es wieder entschlüsseln. Das ist dann doch kein wirklicher
Sicherheitsgewinn.

Kennt jemand eine sichere Methode für die Verschlüsselung einer Url?

Vielen Dank

Gruß Marcel

Re: Url Parameter verschlüsseln

Marcel Polty wrote:

> Ich muss einige Parameter per Url an eine fremde Seite übergeben. Die
> Paramter sollten nicht lesbar sein.

Dann kannst Du sie nur weglassen! :-)

> Beispiel:
> www.fremdeseite.de?shopnr=12345&kdnr=6789
> Die Werte von "shopnr" und "kdnr" sollten nicht lesbar sein.
>
> In PHP habe ich zum verschlüsseln nur base64 gefunden.

Sicher nicht! base64 ist ein Encoding und hat mit Verschlüsselung rein
garnichts zu tun.

> Kennt jemand eine sichere Methode für die Verschlüsselung einer Url?

Ich will mal sehen ob ich verstehe was Du meinst.
Du möchtest, das ?shopnr=12345&kdnr=6789 nicht als solches ersichtlich
ist sonder lieber als ?shopnr=geheim&kdnr=nochgeheimer
Ist das korrekt so?

Dann nimm doch einfach einen der zahlreichen bidirektionalen Algorithmen
die PHP über mcrypt anbietet. Aber wo soll da der Sinn drin sein?
?shopnr=12345&kdnr=6789 ist doch letzendlich genau so sicher/unsicher
wie ?shopnr=geheim&kdnr=nochgeheimer

MfG, Ulf

Re: Url Parameter verschlüsseln

Marcel Polty schrieb:

> Hallo!
>
> Ich muss einige Parameter per Url an eine fremde Seite übergeben. Die
> Paramter sollten nicht lesbar sein.

Das geht nicht.
Wenn sie nicht in der Adressleiste zu sehen sein sollen, dann nimm POST.

> Beispiel:
> www.fremdeseite.de?shopnr=12345&kdnr=6789
>
> Die Werte von "shopnr" und "kdnr" sollten nicht lesbar sein.

> In PHP habe ich zum verschlüsseln nur base64 gefunden. Aber wenn ich
> es damit verschlüssele kann doch jeder der sich ein wenig mit php
> auskennt es wieder entschlüsseln. Das ist dann doch kein wirklicher
> Sicherheitsgewinn.
>
> Kennt jemand eine sichere Methode für die Verschlüsselung einer Url?

Das geht nicht. Selbst wenn Du die Parameter (egal ob GET oder POST oder
per Cookie) verschlüsselt übergibst, mußt Du sie ja wieder
entschlüsseln.
Übergibt man die Parameter verschlüsselt, werden sie ja von Deinem
Skript wieder entschlüsselt und Du hast keinerlei Gewinn.

Wenn Du willst, das die Daten nicht zu sehen sind, bleibt Dir nur
Session.

--
Kürsche
Wenns 'ner net gwittern tun tut ;)
Linux/*BSD-Anleitungen, Forum und Chat: www.newbie-net.de

Re: Url Parameter verschlüsseln

Marcel Polty schrieb:
> Hallo!
>
> Ich muss einige Parameter per Url an eine fremde Seite übergeben. Die
> Paramter sollten nicht lesbar sein.
>
> Beispiel:
> www.fremdeseite.de?shopnr=12345&kdnr=6789
>
> Die Werte von "shopnr" und "kdnr" sollten nicht lesbar sein.
>
> In PHP habe ich zum verschlüsseln nur base64 gefunden. Aber wenn ich
> es damit verschlüssele kann doch jeder der sich ein wenig mit php
> auskennt es wieder entschlüsseln. Das ist dann doch kein wirklicher
> Sicherheitsgewinn.
>
> Kennt jemand eine sichere Methode für die Verschlüsselung einer Url?
>
> Vielen Dank
>
> Gruß Marcel
Wenn ich Dich richtig verstehe, willst Du nur die übertragenen Werte für
dritte Benutzer der Seite unlesbar machen, richtig?
Ich würde in dem Fall die Werte irgendwie mit einem Passwort verknüpfen
und auf der anderen Seite "entknüpfen".
Wie sicher soll das sein? Werden die Werte auf der einen Seite per
Javascript erzeugt oder per php auf beiden Seiten erzeugt und ausgelesen?
Mit Wert XOR Passwort auf beiden Seiten müsstest Du eventuell schon
brauchbare Ergebnisse bekommen.

Gruss Josi

Re: Url Parameter verschlüsseln

Hallo Ulf,

vielen Dank für Deine Antwort!

Ulf Kadner schrieb:
>Ich will mal sehen ob ich verstehe was Du meinst.
>Du möchtest, das ?shopnr=12345&kdnr=6789 nicht als solches ersichtlich
>ist sonder lieber als ?shopnr=geheim&kdnr=nochgeheimer
>Ist das korrekt so?

Richtig, genau so!

>Dann nimm doch einfach einen der zahlreichen bidirektionalen Algorithmen
>die PHP über mcrypt anbietet. Aber wo soll da der Sinn drin sein?
>?shopnr=12345&kdnr=6789 ist doch letzendlich genau so sicher/unsicher
>wie ?shopnr=geheim&kdnr=nochgeheimer

Ich habe es mit mcrypt gelöst, nochmals vielen Dank für den Tipp!!

Gruß Marcel

Re: Url Parameter verschlüsseln

Hallo Josi!

Michael Jostmeyer schrieb:
>Wenn ich Dich richtig verstehe, willst Du nur die übertragenen Werte für
>dritte Benutzer der Seite unlesbar machen, richtig?

Ganz genau das ist es!

>Ich würde in dem Fall die Werte irgendwie mit einem Passwort verknüpfen
>und auf der anderen Seite "entknüpfen".
>Wie sicher soll das sein? Werden die Werte auf der einen Seite per
>Javascript erzeugt oder per php auf beiden Seiten erzeugt und ausgelesen?

Kundennummern sind meistens fortlaufende Nummern. Das weiß jeder. Und
die Verschlüsselung soll im Prinzip nur verhindern, das Otto Normal
Verbraucher nicht auf die Idee kommt mit diversen anderen Kunden
Nummern das entfernte System aufzurufen um evtl die Preise seiner
Mitbewerber zu erfahren.

Ja, es wird auf beiden Seiten mit php gearbeitet und ein eventuelles
Passwort kann der anderen Seite problemlos mitgeteilt werden.

>Mit Wert XOR Passwort auf beiden Seiten müsstest Du eventuell schon
>brauchbare Ergebnisse bekommen.

Danke für Deinen Tipp!!

Gruß Marcel

Re: Url Parameter verschlüsseln

Marcel Polty wrote:

> Kundennummern sind meistens fortlaufende Nummern. Das weiß jeder. Und
> die Verschlüsselung soll im Prinzip nur verhindern, das Otto Normal
> Verbraucher nicht auf die Idee kommt mit diversen anderen Kunden
> Nummern das entfernte System aufzurufen um evtl die Preise seiner
> Mitbewerber zu erfahren.

Sowas löst man im allgemeinen über ein Rechte/Rollensystem.

MfG, Ulf