Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst HTTPS SSL Passwort bekannt, Hack-möglich ?

Mitglied: decehakan

decehakan (Level 1) - Jetzt verbinden

06.12.2019 um 18:57 Uhr, 7140 Aufrufe, 7 Kommentare, 1 Danke

Hallo Leute,

hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support versandt. Hab heute erst eingesehen, dass dabei auch server.xml Datei mitversandt worden sind. In der server.xml ist der keypass enthalten, nun da ich mich mit Hacking wenig auskenne, ist die Frage:

Kann man, wenn man den keypass der SSL-Verschlüsslung 1.2TLS kennt, die Verbindungsaufbau zwischen Host und Client entschlüsseln ?

VG

decehakan
Mitglied: certifiedit.net
06.12.2019 um 19:11 Uhr
Hallo,

was für ein keypass?

Nein, host und client SSL Verschlüsselung ist etwas anderes, aber du solltest vmtl. die Datenbank und Userkennwörter zurücksetzen. Aber sowas prüft man eigentlich akribisch, bevor man solche Daten versendet...
Bitte warten ..
Mitglied: decehakan
06.12.2019 um 19:26 Uhr
sorry,ich meine denn keystorepass.
also ich meine wenn man den keystorepass der SSL-Verschlüsslung kennt, ob man die HTTPS-Verschlüsslung zwischen Client und Host entschlüsseln kann ?

Pw der User werde ich definitiv zurücksetzen, Datenbank PW brauche ich nicht, läuft ja intern.
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 06.12.2019 um 19:32 Uhr
Puh, das ist gefährlich, wenn du das nichtmal zu ordnen kannst...hol dir mal ein gutes Kryptographiebuch...
Bitte warten ..
Mitglied: decehakan
06.12.2019 um 21:42 Uhr
certifiedit: also die logs wurden über ein Klick-Button von der Applikation runtergeladen, dachte mir dabei, dass die Software-Entwickler, die vertrauliche Daten nicht eingeschlossen werden. Nach Rat des Supporter, sollte ich dass denn schicken, Zum Glück habe ich, dass ich den folgenden Tag nachgecheckt.


Zitat von certifiedit.net:

Puh, das ist gefährlich

Das habe ich befürchtet, danke.
Bitte warten ..
Mitglied: SeaStorm
06.12.2019 um 22:24 Uhr
Hi
Wenn ich das richtig verstehe hast du denen die config mit dem Code für deinen private Key geschickt. Ohne den private Key fangen die damit auch nix an. Der ist nur dafür da, damit der private Key überhaupt geöffnet und damit genutzt werden kann.
Bitte warten ..
Mitglied: decehakan
06.12.2019 um 23:14 Uhr
Nee, ich hab Logs file mit dem server. XML Parser in dem der keystorepass dabei ist mitgeschickt.
Bitte warten ..
Mitglied: MatzeK
07.12.2019, aktualisiert um 12:29 Uhr
Deiner Beschreibung nach, hast Du nur das JKS (Java Keystore) Passwort mitgeschickt. Der Privatekey liegt üblicherweise unverschlüsselt in dem JKS. Das Keystore Passwort wird nicht für die Verschlüsselung der SSL/TLS Verbindung verwendet , sondern nur für die Verschlüssung der Keys auf der Festplatte.
Daher ist das an sich nicht schlimm, da du entsprechend auch den Keystore als solchen benötigst um mit dem Passwort etwas anzufangen. Dennoch solltest Du das PW zu deinem JKS ändern und dich ggf. auch etwas mehr mit TLS und TLS in Verbindung mit Java beschäftigen.

Was @certifiedit.net mit "Puh das ist gefährlich" meint, ist denke ich nicht, dass du das PW mitgeschickt hast, sondern dass du die Zusammenhänge der SSL/TLS Konfiguration im Tomcat nicht verstanden hast, und damit eine Web-Applikation, schlimmstenfalls auch noch für Endkunden, betreibst.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS
gelöst Frage von Hendrik2586Verschlüsselung & Zertifikate34 Kommentare

Guten Tag an alle! :) Ich habe eine kurze Frage an euch. Ich hab mein Synologie nun fertig eingerichtet ...

Firewall

Pfsense Haproxy https offloading und ssl https TCPmode SSL Passthrough auf Port 443 ssl

Frage von horstvogelFirewall4 Kommentare

Hallo auf meiner Pfsense möchte ich einen Server (meinen Coturn Server) auch auf 443 laufen laufen lassen. Da der ...

Internet Domänen

Maskierte Weiterleitung https zu https

Frage von Murmeltier1001Internet Domänen3 Kommentare

Hallo zusammen, ich wollte mal Fragen ob es prinzipiell möglich ist eine https adresse maskiert zu einer anderen https ...

Voice over IP

Yealink - Phonesuite CTI - TAPI-Gerät konnte nicht geöffnet werden - HTTPS SSL error

Information von StefanKittelVoice over IP

Hallo, ich hatte heute einen Supportfall mit einem Yealink T46S und Phonesuite CTI bei einem Kunden der Placetel als ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 1 TagMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 2 TagenSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 4 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 6 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server36 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Router & Routing
IpSec FritzBox VPN auf TL-R600 einrichten
Frage von lukaffmRouter & Routing27 Kommentare

Hallo in die Runde, erstmal Hallo, ich bin neu hier und hoffe hier richtig zu sein. Mein Problem betrifft ...

Windows Userverwaltung
Zwei Mitarbeiter mit selbem Namen - wie beim Benutzernamen verfahren? Wie sind Eure Namenskonventionen?
Frage von ipzipzapWindows Userverwaltung24 Kommentare

Hallo, wir bekommen nächsten Monat einen Max Muster, den wir aber schon haben. Unsere Namenkonvention für den Domänen-Benutzernamen ist ...

Firewall
Pfsense - keine Verbindung zur APU
Frage von Will123Firewall24 Kommentare

Hey! ich benötige eure Hilfe und denke das ich mit meinem Anliegen hier richtig bin. Ich habe mir vor ...