Verschlüsselung in Webapplikationen (MD5)

Pass­wör­ter gehö­ren nicht in die Hän­de von Drit­ten, auch nicht in die von Admi­nis­tra­to­ren. Daher wur­den für die Spei­che­rung von Pass­wör­tern soge­nann­te Fall­tür­me­cha­nis­men (trap­door mecha­nisms) entwickelt:

Es ist zwar mög­lich, ein Pass­wort zu ver­schlüs­seln, nicht jedoch es wie­der zu entschlüsseln.

Der Ver­schlüs­se­lungs­al­go­rith­mus funk­tio­niert also genau wie eine Fall­tür nur in eine Rich­tung. Das mag auf den ers­ten Blick sinn­los erschei­nen, ist aber eigent­lich sehr pfif­fig. Neh­men wir als Bei­spiel den weit ver­brei­te­ten MD5-Algo­rith­mus. Mit die­sem sichert fast jede Web­an­wen­dung in PHP ihre Pass­wör­ter ab. Dabei wird aus

123456=> MD5-Ver­schlüs­se­ler => e10adc3949ba59abbe56e057f20f883e

Die­se lan­ge Zei­chen­ket­te sieht der Admin. Er weiß aber des­we­gen das Pass­wort im Klar­text noch nicht, da der Weg

e10adc3949ba59abbe56e057f20f883e => MD5-Ent­schlüs­se­ler (Gibt es nicht) => Passwort

prin­zip­be­dingt ver­sperrt ist. Die dabei ent­ste­hen­de, lan­ge Zei­chen­ket­te wird „Hash“ genannt.

Wenn man sich nun an einer Web­an­wen­dung (Mood­le, Joom­la, egroup­ware …) anmel­det, macht die Web­an­wen­dung folgendes: 

Benut­zer gibt Pass­wort im Klar­text ein => MD5-Ver­schlüss­ler => Hash1

Die­ser Hash1 wird nun mit dem Hash – nen­nen wir ihn Hash2 – ver­gli­chen, der in der Daten­bank für den User gespei­chert ist (er könn­te etwa bei der Regis­trie­rung erzeugt wor­den sein).

Stim­men bei­den Hash­es über­ein, hat der User das kor­rek­te Pass­wort ein­ge­ge­ben, weil der Ver­schlüs­se­lungs­me­cha­nis­mus ja immer gleich ist. Stim­men die Hash­es nicht über­ein, muss der Benut­zer ein fal­sches Pass­wort ein­ge­ge­ben haben.

Soweit so gut. Das ist auch die Erklä­rung dafür, dass einen – so man sein Pass­wort ver­ges­sen hat – stets ein neu­es Pass­wort zuge­wie­sen wird, denn der Admin kann das alte Pass­wort ja nicht wis­sen, son­dern ledig­lich ein neu­es setzen.

Eigent­lich hört sich das Gan­ze recht sicher an – ist es bloß nicht, denn es gibt Angrif­fe gegen die­ses Ver­fah­ren, die aber alle­samt vor­aus­set­zen, dass der Angrei­fer an den Hash kommt.

Wei­ter­le­sen

Versuch zum Treibhauseffekt

Es gibt eine Rei­he von Mythen zum Treib­haus­ef­fekt. Da ist von an den Wol­ken reflek­tier­ter Wär­me­strah­lung die Rede, da wer­den Strah­lung und Wär­me ineinsge­setzt und, und, und…

Ein Ver­such, den ich zum Aus­gangs­punkt für eine eini­ger­ma­ßen wis­sen­schaft­li­che Beschrei­bung des Treib­haus­ef­fek­tes genom­men habe, besaß fol­gen­den Auf­bau, den man in diver­sen Varia­tio­nen in zahl­rei­chen Lehr­bü­chern und auf noch mehr Inter­net­sei­ten fin­det. Die „Riecken­ver­si­on“ tat ihren Dienst erwar­tungs­ge­mäß und brav.

Modellversuch Treibhauseffekt

Modell­ver­such Treibhauseffekt

Ich habe einen Bau­strah­ler (500W ech­tes Halo­gen) durch ein Scha­le mit Was­ser auf zwei klei­ne Erd­mo­del­le schei­nen las­sen: Eines mit dunk­lem Unter­grund (Ton­pa­pier – Land­mas­se), eines mit reflek­tie­ren­dem (Alu­fo­lie – Pol­kap­pen, Glet­scher­eis). Dazu habe ich zwei PET-Fla­schen geköpft und mit Cel­lo­phanfo­lie ver­schlos­sen. Unge­fähr 3cm ober­halb des Unter­grun­des ist jeweils ein Tem­pe­ra­tur­füh­ler befes­tigt – der ver­wen­de­te Alchi­misst (Mess­ge­rät) besitzt freund­li­cher­wei­se zwei unab­hän­gi­ge Tem­pe­ra­tur­an­zei­gen. Das Loch für den Füh­ler bahnt ein glü­hen­der Nagel. Undich­tig­kei­ten ver­sorgt Knet­gum­mi oder aber auch Parafilm.

Bei­de Erd­mo­del­le wur­den über einen Zeit­raum von 5 Minu­ten bestrahlt. Ein­mal waren sie mit Luft und das ande­re Mal mit Koh­len­stoff­di­oxid­gas gefüllt. Alle 30s wird die Tem­pe­ra­tur notiert (das könn­te auch ein Rech­ner machen).

Die Was­ser­scha­le unter dem Halo­gen­strah­ler dient als Fil­ter: So heizt wirk­lich das Licht und nicht die mas­sig abge­ge­be­ne Wärmestrahlung.

Das Roh­ergeb­nis sieht damit fol­gen­der­ma­ßen aus:

Wei­ter­le­sen

Schülerversuch: Reaktion von Kupfer und Schwefel quantitativ

Dies ist ein sehr bekann­ter Ver­such zum Nach­weis vom Gesetz der kon­stan­ten Pro­por­tio­nen. Dazu lässt man ein Kup­fer­blech mit bekann­ter Mas­se mit Schwe­fel reagie­ren und wiegt das Pro­dukt erneut. Dabei ist das Mas­sen­ver­hält­nis von Kup­fer und Schwe­fel im Ide­al­fall kon­stant, da fol­gen­de Reak­ti­on abläuft:

2Cu + S → Cu2S

Es reagie­ren also 32u Schwe­fel  mit ca. 2x63,5u Kup­fer (127u) (alle Wer­te gerun­det), sodass man auf ein Mas­sen­ver­hält­nis von ziem­lich genau 4:1 ( m(Cu):m(S) ) kommt.

Dazu spannt man ein Reagenz­glas mit wenig Schwe­fel­pul­ver leicht schräg in ein Sta­tiv ein. Jede Ver­suchs­grup­pe (je mehr Grup­pen, des­to bes­ser), erhölt ein unter­schied­lich gro­ßes Kup­fer­blech. Die­ses wird gewo­gen und so in das Reagenz­glas ein­ge­führt, dass es etwa 4–5cm über dem Schwe­fel zu lie­gen kommt. Dann wer­den sowohl der Schwe­fel als auch das Reagenz­glas erhitzt. Man soll­te den Ablauf die­ses Expe­ri­men­tier­teils ein­mal vor­her mit den SuS üben (Vor­stun­de).

Durch eine vor­be­rei­te­te Schü­ler­hand kann der span­nen­de Teil des Ver­su­ches so ablaufen:

Wei­ter­le­sen

Evaluationssystem: Vereinfachung der Usability

Alle Umfra­ge­teil­neh­mer erhal­ten von uns einen zufäl­li­gen Benut­zer­na­men und ein zufäl­li­ges Pass­wort. Es wäre ja sehr hübsch, wenn man gleich nach dem Anmel­den direkt zu Umfra­ge gelang­te. Das gelingt durch einen klei­nen Trick:

Zunächst wird eine ein­fach zu mer­ken­de Sub­do­main ange­legt, etwa

http://umfrage.schuldomain.tld

Unter­halb die­ser Sub­do­main spielt man eine Datei „index.html“ mit fol­gen­dem Inhalt ein:

<html>
<head>
<meta http-equiv=„refresh“ content=„0; URL=<link>“>
</head>
<body>
Kli­cken Sie <a href=“<link>“>here</a> wenn Sie nicht auto­ma­tisch zur Umfra­ge wei­ter­ge­lei­tet werden…
Click <a href=“<link>“>here</a> if you are not redi­rec­ted automatically…
</body>
</html>

Den Inhalt von <link> erhält man, wenn man im Kurs, in dem sich die Umfra­ge befin­det, mit der Maus auf den Link zur Umfra­ge geht und dort mit der rech­ten Maus­tas­te „Link-Adres­se kopie­ren“ wählt.

link_feedbackDanach befin­det sich der Link in der Zwi­schen­ab­la­ge und kann mit <STRG+V> in die Datei ein­ge­fügt werden.

Jetzt gibt der Benut­zer ein­fach unse­re Domain in sei­nen Brow­ser ein, mel­det sich mit den Zugangs­da­ten an und lan­det dann direkt in der Umfra­ge – vor­aus­ge­setzt es ist kein Kurs­schlüs­sel gesetzt.

Wenn man die­sen setzt – und das ist mehr als sinn­voll – muss man die­sen den Umfra­ge­teil­neh­men­den zusam­men mit der Zufalls-ID mitteilen.

Mit die­sem Ver­fah­ren gab es bei 150 Teil­neh­men­den nur in zwei Fäl­len Pro­ble­me beim Ein­log­gen (Tipp­feh­ler bei der Ein­ga­be der Zugangsdaten).

Evaluationssystem: Konfiguration des Feedbackmoduls

Eigent­lich wäre die Geschich­te kei­nen eige­nen Blog­bei­trag wert gewe­sen. Ich emp­feh­le aus eini­gen recht­li­chen Grün­den fol­gen­de Ein­stel­lun­gen für das Feedbackmodul:

Anonym aus­fül­len => anonym

Die zuvor müh­sam gene­rier­ten Zufalls-IDs sind schon anonym. Den­noch bleibt eine Gefahr erhal­ten, die man im Daten­schutz als Ver­ket­tung bezeich­net. Es ist schlicht nicht not­wen­dig eine bestimm­te Zufalls-ID mit einer bestimm­ten Daten­rei­he zu ver­ket­ten, d.h. z.B. genau zu wis­sen, wie „xzf56ez“ jetzt das Feed­back beant­wor­tet hat. Das wäre ein kla­rer Ver­stoß gegen das Gebot der Daten­spar­sam­keit. In die­sem Modus ver­ket­tet das Feed­back­mo­dul  stets den Anwen­der „anony­mer Benut­zer“ mit der Datenreihe.

Beach­ten Sie:

Der Erfolg und die Qua­li­tät Ihrer Umfra­g­er­geb­nis­se hän­gen mas­siv vom vor­her trans­pa­rent dar­ge­stell­ten und ver­mit­tel­ten Grad der Anony­mi­sie­rung ab. Die­se simp­le Ein­stel­lung bie­tet in der Hin­sicht viel mehr Sicher­heit für den Teilnehmenden.

Wei­ter­le­sen

1 117 118 119 120 121 149