Antwort #2 am: 17. Dezember 2014, 18:10:03
ja, mit https kann man den Server identifizieren, aber der Client ist damit immer noch anonym. Daher muss der Client vom Server auch authentifiziert werden, was üblicherweise mit User/Passwort funktioniert. Nun kommt aber der von Dir angesprochene Man-in-the-middle und schreibt User und Passwort mit.
Das ist der Grund warum ich Daten und Passwort so verqirlen würde, dass man selbst beim mitschreiben damit nichts anfangen könnte. Das gehashte Passwort ist quasi der private-key, der nur Server und dem jeweiligen User bekannt ist und was bei meiner Lösung nie im Klartext übertragen wird. Ein Man-in-the-middle müßte das gehashte Passwort zurückübersetzen um es 1. benutzen und 2. an die Daten gelangen zu können.
Nochmal zu Verdeutlichung:
Client -> Passworthash x Daten = QuierledData
QierledData over http/https -> Server
Server -> QuierledData / Passworthash = Daten
Da die Daten verschlüsselt sind und auch der Passworthash nicht lesbar ist spielt es keine Rolle Daten per http oder https zu übertragen, wobei https die Sache für Angreifer erschwert. Ein Man-in-the-middle kann nur QuierledData mitschneiden, aber ohne Passworthash damit nix anfangen.