[Projekt] Sicheres, soziales Netz

PseudoPsycho · 04/09/2012, 11:27

In

bereits kurz vorgestellt, es würde jedoch sehr unübersichtlich werden, wenn dort 2 Projekte besprochen werden.

Quote:

Originally Posted by PseudoPsycho

Ich hab' aber schon 'ne Idee für ein neues Projekt, dass ich auch innerhalb von ein bis zwei Monaten alleine schaffen kann.
Dabei handelt es sich um "Sec-Soc-Net", also "secure-social-network"; wenn mir noch ein besserer Name einfällt, ändere ich das nochmal um.
Auf jeden Fall soll es dort möglich sein, AES-verschlüsselte Nachrichten zu posten, welche nur mit Key lesbar sind. Der Key wird automatisch generiert und dem Nutzer mitgeteilt, jedoch nicht gespeichert. Das AES-Verfahren wird übrigens auch in Amerika für Botschaften mit höchster Sicherheitsstufe genutzt.
Desweiteren sollen natürlich möglichst wenige personenbezogene Daten unfreiwillig gespeichert oder gar versandt werden. Facebook-Plugins, etc. also nur über die 2-Klick-Methode (nachladen, "Gefällt mir"). Angabe der EMail-Adresse, etc. dann auch freiwillig.

Das Konzept im PDF-Format könnt ihr

herunterladen.

Nachtrag: Wer mir helfen will, schickt mir bitte 'ne PN und/oder schreibt mich über ICQ an.

Deathman10 · 04/09/2012, 11:32

Kann ich dir irgendwie helfen?

PseudoPsycho · 04/09/2012, 11:34

Der WebSpace von PHP-Friends.de ist noch immer nicht erreichbar, ich habe mich jedoch bereits um die Verschlüsselungsalgorithmen gekümmert...

Verschlüsselung nach SAE256 erzeugt beispielsweise solche Ausgabe:

Quote:

Text: Hallo, Welt!
Schlüssel: iyY:icL9tbv_-tPb/LLV!9/hFUr
Text (verschl.): z—hXŠ¥1ÜÜ¨8ëˆ
Text (wieder entschl.): Hallo, Welt!

und das Hashen nach SHA256 eine solche:

Quote:

Text: Hallo, Welt!
Schlüssel: iyY:icL9tbv_-tPb/LLV!9/hFUr
Hash: HªÐÚËˆøì\âTÇÕ9÷zxÍ0¯¦\t²å¯'ý
HMAC: dc[Y¨?E_ø–÷ÕébÖ!žü’bÅA

Bei dem Schlüssel handelt es sich jeweils um eine zufällig generierte Zeichenkette in der Länge zwischen 20 und 32 Zeichen.

Deathman10 · 04/09/2012, 12:10

Oha nice

KingClem™ · 04/09/2012, 14:00

Und was willst du uns damit jetzt sagen? Das du in der lage bist die Hash Typen von PHP zu nutzen? Dein System weißt allerdings fehler auf.Es ist Hackbar.Solltest du mit deinen anonymous avatar doch wissen ,das man sowas bruten kann & ganz einfach kann man auch echte wörter rausfiltern und sobald die gefunden wurden => Hacked. Also speichert man die keys als Md5+Crypt Function noch im MySQL ab

PseudoPsycho · 04/09/2012, 14:15

Quote:

Originally Posted by KingClem™

Und was willst du uns damit jetzt sagen? Das du in der lage bist die Hash Typen von PHP zu nutzen?

Nö, war einfach nur'n Statusreport.

Quote:

Also speichert man die keys als Md5+Crypt Function noch im MySQL ab

Die Keys speichert man am Besten gar nicht ab, zumal SHA gegenüber md5 und crypt die deutlich bessere Variante ist... Dann kann man nämlich auch durch eine SQL-Injection nichts ausrichten...

Ich vermute 'mal, dass du auf eine Sperre nach x fehlgeschlagenen Versuchen hinaus willst:
Wozu? Eine Sperre nach x Versuchen in kurzer Zeit tut es doch auch..?

Heberg · 04/09/2012, 18:52

Finde die Idee super, bin aber momentan mit meinem eigenen Browsergame beschäftigt und lerne OOP dementsprechend um mir Code zu sparen.

@Pseudo, Sachma, du kennst dich doch mit OOP aus, kannst du es mir nicht mal beibringen ( Grundgeröst ) ?

Project Rivalry · 04/09/2012, 19:03

hab da ne gute seite wo ich oop angefangen habe

finde ich sehr einfach und verständlich:

PseudoPsycho · 04/09/2012, 19:30

Ähm, ist eig. ganz einfach...
Zum Aufrufen von Klassen, hier mal 'ne simple Demo:

PHP Code:


			
$obj=new Object();
$var=$obj->Attribut;
echo $obj->Methode($var);

und das Definieren von Klassen:

PHP Code:


			
class Object {
public $Attribut;
private $var;
__construct(){
// wird beim Erstellen ausgeführt
$this->Attribut='Hallo, Welt';
$this->var=$this->Attribut;
}
public function Methode($var){
if($var===$this->var===$this->Attribut){
return true; }
return false; } }

Ähm, jetzt aber bitte wieder back to topic!!!
Fragen zur OOP per PN.

danny-98 · 04/10/2012, 17:10

Brauchst du hier noch Helfer?

PseudoPsycho · 04/10/2012, 18:06

Helfer sind immer gut. Ich schick' dir 'ne PN.

PseudoPsycho · 04/11/2012, 20:13

Kennt zufällig jemand eine (am besten OpenSource-)JavaScript-Bibliothek, welche in der Lage ist, die via PHPSecureCommunicationsLibrary mit AES256 verschlüsselten Nachrichten zu entschlüsseln?

boxxiebabee · 04/12/2012, 14:24

Könnte auch Interessant sein:

PseudoPsycho · 04/12/2012, 14:33

Quote:

Originally Posted by Lizzaran

Könnte auch Interessant sein:

Danke. Das erste habe ich aber schon getestet, und es erzeugt nicht annähernd eine ähnliche Ausgabe (auch wenn ich bin2hex() verwende).
jsaes stimmte immerhin beinahe überein, sodass die ersten Zeichen korrekt entschlüsselt werden, die restlichen jedoch nicht.
jCryption werde ich mal testen, danke.

Edit: In welchem Modus laufen jsaes und jCrytion denn überhaupt?

Also, nach schlichtem Ausprobieren, würde ich sagen, dass jsaes im ECB-Modus läuft. Nun wird auch nicht mehr nur der Anfang entschlüsselt, sondern weite Teile des Textes, vereinzelte Satzteile stimmen jedoch noch nicht.
Hier ein Beispiel:

Jemand 'ne Ahnung, wie man das beheben kann, oder woran das liegt?

PseudoPsycho · 04/14/2012, 14:40

#update:
Ich verwende nun ecmaScrypt im OFB-Modus.
Dies funktioniert schonmal erheblich besser, doch noch immer nicht perfekt.
Demo:

Einige Buchstaben werden noch verschluckt, andere fehlerhaft dargestellt (z.B. e als %).
Kann mir irgendjemand weiterhelfen?

Nach zahlreichen Versuchen: Problem gelöst.
Habt also einen Blick hierdrauf:

Passwort: Demo-Artikel

Sec-Soc-Net auf Facebook:

Ein kleiner Widerspruch in sich, aber irgendwie muss man ja Werbung machen ^^