7
HTTPS SSL Passwort bekannt, Hack-möglich ?
Hallo Leute,
hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support versandt. Hab heute erst eingesehen, dass dabei auch server.xml Datei mitversandt worden sind. In der server.xml ist der keypass enthalten, nun da ich mich mit Hacking wenig auskenne, ist die Frage:
Kann man, wenn man den keypass der SSL-Verschlüsslung 1.2TLS kennt, die Verbindungsaufbau zwischen Host und Client entschlüsseln ?
VG
decehakan
hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support versandt. Hab heute erst eingesehen, dass dabei auch server.xml Datei mitversandt worden sind. In der server.xml ist der keypass enthalten, nun da ich mich mit Hacking wenig auskenne, ist die Frage:
Kann man, wenn man den keypass der SSL-Verschlüsslung 1.2TLS kennt, die Verbindungsaufbau zwischen Host und Client entschlüsseln ?
VG
decehakan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 522754
Url: https://administrator.de/contentid/522754
Printed on: April 25, 2024 at 14:04 o'clock
7 Comments
Latest comment
Hallo,
was für ein keypass?
Nein, host und client SSL Verschlüsselung ist etwas anderes, aber du solltest vmtl. die Datenbank und Userkennwörter zurücksetzen. Aber sowas prüft man eigentlich akribisch, bevor man solche Daten versendet...
was für ein keypass?
Nein, host und client SSL Verschlüsselung ist etwas anderes, aber du solltest vmtl. die Datenbank und Userkennwörter zurücksetzen. Aber sowas prüft man eigentlich akribisch, bevor man solche Daten versendet...
sorry,ich meine denn keystorepass.
also ich meine wenn man den keystorepass der SSL-Verschlüsslung kennt, ob man die HTTPS-Verschlüsslung zwischen Client und Host entschlüsseln kann ?
Pw der User werde ich definitiv zurücksetzen, Datenbank PW brauche ich nicht, läuft ja intern.
also ich meine wenn man den keystorepass der SSL-Verschlüsslung kennt, ob man die HTTPS-Verschlüsslung zwischen Client und Host entschlüsseln kann ?
Pw der User werde ich definitiv zurücksetzen, Datenbank PW brauche ich nicht, läuft ja intern.
Puh, das ist gefährlich, wenn du das nichtmal zu ordnen kannst...hol dir mal ein gutes Kryptographiebuch...
certifiedit: also die logs wurden über ein Klick-Button von der Applikation runtergeladen, dachte mir dabei, dass die Software-Entwickler, die vertrauliche Daten nicht eingeschlossen werden. Nach Rat des Supporter, sollte ich dass denn schicken, Zum Glück habe ich, dass ich den folgenden Tag nachgecheckt.
Das habe ich befürchtet, danke.
Das habe ich befürchtet, danke.
Hi
Wenn ich das richtig verstehe hast du denen die config mit dem Code für deinen private Key geschickt. Ohne den private Key fangen die damit auch nix an. Der ist nur dafür da, damit der private Key überhaupt geöffnet und damit genutzt werden kann.
Wenn ich das richtig verstehe hast du denen die config mit dem Code für deinen private Key geschickt. Ohne den private Key fangen die damit auch nix an. Der ist nur dafür da, damit der private Key überhaupt geöffnet und damit genutzt werden kann.
Nee, ich hab Logs file mit dem server. XML Parser in dem der keystorepass dabei ist mitgeschickt.
Deiner Beschreibung nach, hast Du nur das JKS (Java Keystore) Passwort mitgeschickt. Der Privatekey liegt üblicherweise unverschlüsselt in dem JKS. Das Keystore Passwort wird nicht für die Verschlüsselung der SSL/TLS Verbindung verwendet , sondern nur für die Verschlüssung der Keys auf der Festplatte.
Daher ist das an sich nicht schlimm, da du entsprechend auch den Keystore als solchen benötigst um mit dem Passwort etwas anzufangen. Dennoch solltest Du das PW zu deinem JKS ändern und dich ggf. auch etwas mehr mit TLS und TLS in Verbindung mit Java beschäftigen.
Was @certifiedit.net mit "Puh das ist gefährlich" meint, ist denke ich nicht, dass du das PW mitgeschickt hast, sondern dass du die Zusammenhänge der SSL/TLS Konfiguration im Tomcat nicht verstanden hast, und damit eine Web-Applikation, schlimmstenfalls auch noch für Endkunden, betreibst.
Daher ist das an sich nicht schlimm, da du entsprechend auch den Keystore als solchen benötigst um mit dem Passwort etwas anzufangen. Dennoch solltest Du das PW zu deinem JKS ändern und dich ggf. auch etwas mehr mit TLS und TLS in Verbindung mit Java beschäftigen.
Was @certifiedit.net mit "Puh das ist gefährlich" meint, ist denke ich nicht, dass du das PW mitgeschickt hast, sondern dass du die Zusammenhänge der SSL/TLS Konfiguration im Tomcat nicht verstanden hast, und damit eine Web-Applikation, schlimmstenfalls auch noch für Endkunden, betreibst.
1
