spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Jedem einzelnen nen Keylogger unterzujubeln ist einiges aufwändiger (ergo unwahrscheinlicher).

Ich bin ja immer noch für Benutzer SSL Zertifikate und deren Verifizierung

Eigentlich ist das garnicht so schwierig fkrauthan.
Key File im Firefox importieren geht ganz fix. Firefox fragt den Benutzer, welchen Key er nehmen soll sobald der Webserver nach einem SSL User Zertifikat fragt. Letztenendes nix anderes als der Passwort Login von HTTP auch, bloß ohne Passwort .

Vielleicht könnte man nen Firefox Plugin basteln, welches das generieren und importieren eines User Keys übernimmt. Dann ist es wirklich schon fast DAU sicher.

Ich habs nicht ausprobiert, aber afaik unterstützen Safari und Opera das genauso.

Ich hab nicht gesagt, dass der IE es nicht unterstürzt. Ich weiß es nicht. Wer will kann es gerne ausprobieren, ich hab leider kein IE parat. https://test.dennis-kempin.de/ spuckt per PHP die SSL Client Zertifikat Informationen aus die an den Webserver gesendet wurden.

Zitat

Und wie mache ich es wenn ein User sein Zertifkat "verliert"

Was machst du wenn ein User sein Passwort verliert? Ich denke mal eine Möglichkeit wäre es das dem User die Möglichkeit zu geben per mail Nachfrage sein neues Zertifikat zu registrieren.

Und auf dem Server erstellst du keine Zertifikate.. das könnte man als netten Dienst anbieten für Leute die keine SSL Zertifikate generieren können.
Du musst nur die Daten die vom Client kommen mit deiner Datenbank vergleichen. Ich glaube die Schlüssel ID ist nicht einfach zu fälschen, diese könntest du mehr oder weniger als passwort in deiner Benutzerdatenbank eintragen.

Ich kenne mich mit SSL noch nicht so gut aus.. Wenn sich Schlüssel IDs leicht fälschen lassen wäre es eventuell interessant mit Signaturen zu arbeiten.