Lokale Spuren bei HTTPS
Hallo,
wenn ich mich von einem Firmen-PC auf einer https Seite angemelde, wird das Kennwort dann irgendwo lokal oder im Netz (zwischen)gespeichert so dass es später mal gefunden/geknackt werden kann?
Danke
wenn ich mich von einem Firmen-PC auf einer https Seite angemelde, wird das Kennwort dann irgendwo lokal oder im Netz (zwischen)gespeichert so dass es später mal gefunden/geknackt werden kann?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145012
Url: https://administrator.de/contentid/145012
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
13 Kommentare
Neuester Kommentar
Ich denke du stellst dir dieselbe Frage, die mir auch manchmal durch den Kopf geht.
Was, wenn in der Firma der Admin auf dem Proxy ....
Aber soweit ich denken kann, übermittelt der Browser das durch das HttpSecure mit 128bit Schlüssel - insofern ...
Und die Wahrscheinlichkeit mit dem Admin und dem Proxy .. naja.
Ein Keylogger wäre da einfacher!
Was, wenn in der Firma der Admin auf dem Proxy ....
Aber soweit ich denken kann, übermittelt der Browser das durch das HttpSecure mit 128bit Schlüssel - insofern ...
Und die Wahrscheinlichkeit mit dem Admin und dem Proxy .. naja.
Ein Keylogger wäre da einfacher!
Moin,
dann erzähle ich euch mal was aus der Trickkiste des Admins ;). Rein Theoretisch komme ich natürlich auch an die Passwörter der Benutzer ran - ist recht einfach: Ich geh an deren Rechner und melde mich mit deren Account an. Wenn die Passwörter gespeichert sind dann intressiert mich das eigentliche PW ja nicht - warum auch?
ABER: Mich intressiert auch nicht wo welches PW verwendet wird. Warum auch? Ich kann an der URL ja schon sehen was "ihr" macht. D.h. wenn privatnutzung erlaubt ist dann gucke ich ins Log und sehe schon anhand der URLs ob da irgendwas trotzdem verbotenes abläuft (z.B. wenn in der URL was von torrent steht kann man ja auch sehen welche Datei genau geladen wurde...). Oder wenn die privat-Nutzung verboten ist dann sehe ich wenn ihr trotzdem eine URL aufruft - und das is dann auch egal ob ihr https oder http nehmt. Der INHALT der Seite intressiert mich dann herzlich wenig.
Und jetzt nehmen wir an das es sich um eine "grenzwertige" Seite handelt. Jetzt gibt es eigentlich nur 2 Optionen:
a) Ich geh zu der Person hin und kläre das im Gespräch. Dabei ist mir das Passwort völlig egal - die Person hat sich dann da direkt anzumelden und mich davon zu überzeugen das die Seite "ok" ist.
b) Weigert sich die Person - ok, natürlich kann ich nicht verlangen das nen PW rausgegeben wird (grad bei privaten Seiten). Allerdings kann ich die Seite dann ohne weitere Kommentare sperren, ein Gespräch mit der GL veranlassen und notfalls sogar den Internetzugang nur noch auf explizit erlaubte Webseiten reduzieren.
Von daher stellt sich die Frage für mich gar nicht. Ich hab gar keine Lust mir die Passwörter der User zu merken - und auch keine Zeit mir da irgendwas auszulesen. Sorry - aber ich werde fürs Arbeiten bezahlt und nicht dafür die privaten Seiten der Leute von uns "nachzugucken" (Ganz davon abgesehen das der Zugriff auf nen privates Postfach durch den Admin zimlich hart bestraft wird wenn man dafür das PW des Benutzers knackt...). Nebenbei intressiert es mich auch ehrlich gesagt überhaupt nicht was die Leute so privat machen - allein schon aus "Selbstschutz" und Respekt gegenüber dem Privatleben jeder Person (ich möchte auch nicht das meine Kollegen alles über mich wissen...)
Aber nochmal zum Thema "Passwort". Nehmen wir jetzt an das ein User auf ner HTTPS-Seite ist und ich die Zugangsdaten UNBEDINGT benötige / will. In dem Fall ist es auch nicht weiter schwer. ICH betreue in der Firma den DNS, ICH kann den Webserver steuern und kann dort beliebige Scripte drauf laufen lassen. Wenn man jetzt mal in den Bereich "Man-in-the-middle" guckt dann kann man sich vorstellen das es ab jetzt ein leichtes ist auch HTTPS-Passwörter zu bekommen. Klar - nich aus dem Datenstrom -> das is mir zu blöde den mitzuschneiden. Nein - ich bringe euch dazu einfach das Passwort auf "meiner" Seite einzugeben und packe es schön elegant in ne DB. Und wer von euch würde denn wirklich was vermuten wenn nach der PW-Eingabe die übliche Firmen-Fehlerseite (Zugang wurde durch Richtlinien verboten o.ä.) kommt? Ok, der Admin hat die Seite gesperrt - kein Grund das eigene PW zu ändern... (Ich sehe diesen Absatz übrigens NICHT als Anleitung zum Hacken o. sonstwas das gegen die Foren-Regeln verstößt... Ich denke jeder Admin der die Möglichkeit hat diese Server zu steuern weiss selbst wie einfach das geht...).
dann erzähle ich euch mal was aus der Trickkiste des Admins ;). Rein Theoretisch komme ich natürlich auch an die Passwörter der Benutzer ran - ist recht einfach: Ich geh an deren Rechner und melde mich mit deren Account an. Wenn die Passwörter gespeichert sind dann intressiert mich das eigentliche PW ja nicht - warum auch?
ABER: Mich intressiert auch nicht wo welches PW verwendet wird. Warum auch? Ich kann an der URL ja schon sehen was "ihr" macht. D.h. wenn privatnutzung erlaubt ist dann gucke ich ins Log und sehe schon anhand der URLs ob da irgendwas trotzdem verbotenes abläuft (z.B. wenn in der URL was von torrent steht kann man ja auch sehen welche Datei genau geladen wurde...). Oder wenn die privat-Nutzung verboten ist dann sehe ich wenn ihr trotzdem eine URL aufruft - und das is dann auch egal ob ihr https oder http nehmt. Der INHALT der Seite intressiert mich dann herzlich wenig.
Und jetzt nehmen wir an das es sich um eine "grenzwertige" Seite handelt. Jetzt gibt es eigentlich nur 2 Optionen:
a) Ich geh zu der Person hin und kläre das im Gespräch. Dabei ist mir das Passwort völlig egal - die Person hat sich dann da direkt anzumelden und mich davon zu überzeugen das die Seite "ok" ist.
b) Weigert sich die Person - ok, natürlich kann ich nicht verlangen das nen PW rausgegeben wird (grad bei privaten Seiten). Allerdings kann ich die Seite dann ohne weitere Kommentare sperren, ein Gespräch mit der GL veranlassen und notfalls sogar den Internetzugang nur noch auf explizit erlaubte Webseiten reduzieren.
Von daher stellt sich die Frage für mich gar nicht. Ich hab gar keine Lust mir die Passwörter der User zu merken - und auch keine Zeit mir da irgendwas auszulesen. Sorry - aber ich werde fürs Arbeiten bezahlt und nicht dafür die privaten Seiten der Leute von uns "nachzugucken" (Ganz davon abgesehen das der Zugriff auf nen privates Postfach durch den Admin zimlich hart bestraft wird wenn man dafür das PW des Benutzers knackt...). Nebenbei intressiert es mich auch ehrlich gesagt überhaupt nicht was die Leute so privat machen - allein schon aus "Selbstschutz" und Respekt gegenüber dem Privatleben jeder Person (ich möchte auch nicht das meine Kollegen alles über mich wissen...)
Aber nochmal zum Thema "Passwort". Nehmen wir jetzt an das ein User auf ner HTTPS-Seite ist und ich die Zugangsdaten UNBEDINGT benötige / will. In dem Fall ist es auch nicht weiter schwer. ICH betreue in der Firma den DNS, ICH kann den Webserver steuern und kann dort beliebige Scripte drauf laufen lassen. Wenn man jetzt mal in den Bereich "Man-in-the-middle" guckt dann kann man sich vorstellen das es ab jetzt ein leichtes ist auch HTTPS-Passwörter zu bekommen. Klar - nich aus dem Datenstrom -> das is mir zu blöde den mitzuschneiden. Nein - ich bringe euch dazu einfach das Passwort auf "meiner" Seite einzugeben und packe es schön elegant in ne DB. Und wer von euch würde denn wirklich was vermuten wenn nach der PW-Eingabe die übliche Firmen-Fehlerseite (Zugang wurde durch Richtlinien verboten o.ä.) kommt? Ok, der Admin hat die Seite gesperrt - kein Grund das eigene PW zu ändern... (Ich sehe diesen Absatz übrigens NICHT als Anleitung zum Hacken o. sonstwas das gegen die Foren-Regeln verstößt... Ich denke jeder Admin der die Möglichkeit hat diese Server zu steuern weiss selbst wie einfach das geht...).
Da wir hier fast alle Admins sind hätten wir, wenn wir wollten und dürften, alle Möglichkeiten unsere User auszuspionieren. Wir wollen aber gar nicht, was das "nicht dürfen" schon gar nicht mehr notwendig macht. Jedem verantwortungsvollen Admin dürfte klar sein, was er
- 1. mit so einer Aktion auslöst
- 2. an Konsequenzen zu befürchten hat wenn es raus kommt
- 3. nach dem Auffliegen noch an Zeit in der Firma verbringen wird und
- 4. zukünftig für Arbeiten verrichten wird
Passwoerter oder Surfverhalten der Mitarbeiter aufzuzeichen oder zu ueberwachen ist nicht ohne Weiteres erlaubt.
Beim Aufbau einer Verbindung werden Pakete gesendet. Bei HTTP steht einem die Information in Plaintext zur Verfuegung, bei HTTPS werden die Informationen mit dem TLS-Protokoll 1.2 verschluesselt, siehe hierzu auch
RFC 5246
Wenn Du dich auf einer Seite einloggst und die Option "eingeloggt bleiben" oder "automatisch einloggen" waehlst wird die dazu benoetigte Information in dem Cookie abgelegt, i.d.R. sind die dort abgelegten Informationen verschluesselt. Passwoerter werden nicht in einem Cookie gespeichert.
Ich hoffe, das beantwortet deine Frage..
Saludos
Jan
Beim Aufbau einer Verbindung werden Pakete gesendet. Bei HTTP steht einem die Information in Plaintext zur Verfuegung, bei HTTPS werden die Informationen mit dem TLS-Protokoll 1.2 verschluesselt, siehe hierzu auch
RFC 5246
Wenn Du dich auf einer Seite einloggst und die Option "eingeloggt bleiben" oder "automatisch einloggen" waehlst wird die dazu benoetigte Information in dem Cookie abgelegt, i.d.R. sind die dort abgelegten Informationen verschluesselt. Passwoerter werden nicht in einem Cookie gespeichert.
Ich hoffe, das beantwortet deine Frage..
Saludos
Jan
Das klingt irgendwie nach Firmen mit weniger als 20 Mitarbeitern und nem Admin mit Potenzproblemen
Für meinen Teil muss ich dich da enttäuschen.
Wir haben hier ~160 User an ebensovielen Clients die mal mehr mal weniger viel auf ingesamt 47 (größtenteils virtuellen) Servern arbeiten, deren ESX-Cluster sich über 2 Standorte, einen weiteren kleineren Standort und eine variable Anzahl an Baustellen erstreckt. Und nicht zuletzt: Ich habe drei Kinder.
Ich hoffe die Frage ist damit beantwortet
Moin,
hmm - ok, wir lassen mal alles aussen vor wie man da an die daten kommen könnte. Am besten lassen wir auch noch aussen vor das jemand hinter dir stehen könnte, das jemand deinen Zettel mit all deinen privaten Passwörtern (der direkt auf dem Schreibtisch liegt) liest. Und natürlich lassen wir aussen vor das es Leute gibt die sich überhaupt dafür intressieren.
Nein - also wenn wir alle diese Punkte ausser acht lassen - dann ist es nicht möglich das Surfverhalten / die PWs zu bekommen.
Leider ist es nur in der Realität so das der Admin sich um deine Cookies herzlich wenig schert - denn da könntest du ja einfach den Browser-Cache löschen und die Sache hat sich erledigt. Und schon wird die Sache intressant - denn plötzlich kommt all das zum Tragen was du asser acht lässt.
Die EINZIGE sichere Methode das zu verhindern: Auf dem Arbeitsplatz einfach keine privaten Mails machen. Denn das kann man auch zuhause erledigen - da brauch ich mir keine Sorgen machen ob der Admin nun an meine Mails kommt...
hmm - ok, wir lassen mal alles aussen vor wie man da an die daten kommen könnte. Am besten lassen wir auch noch aussen vor das jemand hinter dir stehen könnte, das jemand deinen Zettel mit all deinen privaten Passwörtern (der direkt auf dem Schreibtisch liegt) liest. Und natürlich lassen wir aussen vor das es Leute gibt die sich überhaupt dafür intressieren.
Nein - also wenn wir alle diese Punkte ausser acht lassen - dann ist es nicht möglich das Surfverhalten / die PWs zu bekommen.
Leider ist es nur in der Realität so das der Admin sich um deine Cookies herzlich wenig schert - denn da könntest du ja einfach den Browser-Cache löschen und die Sache hat sich erledigt. Und schon wird die Sache intressant - denn plötzlich kommt all das zum Tragen was du asser acht lässt.
Die EINZIGE sichere Methode das zu verhindern: Auf dem Arbeitsplatz einfach keine privaten Mails machen. Denn das kann man auch zuhause erledigen - da brauch ich mir keine Sorgen machen ob der Admin nun an meine Mails kommt...
Hmm - irgendwie hab ich das Gefühl du gibst dir alle Mühe das nicht zu verstehen!
Also nochmal extra für dich und im Klartext: Was du auf dem PC machst ist dem Admin zimlich latte. Nehmen wir nur mal an das dein Chef dich loswerden will und der Admin da helfen soll/darf/will. Dann kannst du deinen PC formatieren, Abfackeln und aus dem Fenster werfen - HF & GL. Das wird den Admin nicht für einen Moment daran hindern dir trotzdem kurz später genau zu sagen wo du warst, was du gemacht hast und - bei Bedarf - auch welche Passwörter du verwendet hast. Denn es gibt hier nunmal nur 2 Optionen:
a) Der Admin hält sich daran was er darf. Dann intressiert ihm dein Passwort nicht weil er es eh nicht verwenden darf/wird. Er weiss trotzdem wo du am Surfen warst und kann allein daraus seine Schlüsse ziehen.
b) Der Admin hält sich nicht daran. NUR dann intressiert dein Passwort und sonstiger Bullshit. Aber da ist es dann eben wie bei den Jedi's: Mächtig die dunkle Seite sie ist! In dem Fall habe ich die Möglichkeit dir den gesamten PC zu überwachen. Dabei geht es vom Keylogger bis hin zum "über die Schulter gucken" per Fernwartung (und das merkst du nicht).
Aber gut - geh jetzt mal davon aus das du sicher bist wenn du HTTPs nutzt. Das ist ähnlich wie das Gerücht mit dem Kohlepapier um Drogen unsichtbar zu machen... Freut sich jeder Zollbeamte weil das ding wie nen Weihnachtsbaum am Röntgen aufleuchtet... Und nicht anders sieht es aus wenn ein Rechner im Log übermäßig viel nur auf https-Seiten unterwegs ist. Und selbstverständlich reicht es aus deine Cookies zu löschen - weil du damit das Server-Protokoll auch änderst...
Und jetzt überleg nochmal was der Tipp mit Unterlassung wohl damit zu tun hat dass DAS die einzige Möglichkeit ist wie man dafür sorgen kann das der Admin nicht an Passwörter kommt...
Also nochmal extra für dich und im Klartext: Was du auf dem PC machst ist dem Admin zimlich latte. Nehmen wir nur mal an das dein Chef dich loswerden will und der Admin da helfen soll/darf/will. Dann kannst du deinen PC formatieren, Abfackeln und aus dem Fenster werfen - HF & GL. Das wird den Admin nicht für einen Moment daran hindern dir trotzdem kurz später genau zu sagen wo du warst, was du gemacht hast und - bei Bedarf - auch welche Passwörter du verwendet hast. Denn es gibt hier nunmal nur 2 Optionen:
a) Der Admin hält sich daran was er darf. Dann intressiert ihm dein Passwort nicht weil er es eh nicht verwenden darf/wird. Er weiss trotzdem wo du am Surfen warst und kann allein daraus seine Schlüsse ziehen.
b) Der Admin hält sich nicht daran. NUR dann intressiert dein Passwort und sonstiger Bullshit. Aber da ist es dann eben wie bei den Jedi's: Mächtig die dunkle Seite sie ist! In dem Fall habe ich die Möglichkeit dir den gesamten PC zu überwachen. Dabei geht es vom Keylogger bis hin zum "über die Schulter gucken" per Fernwartung (und das merkst du nicht).
Aber gut - geh jetzt mal davon aus das du sicher bist wenn du HTTPs nutzt. Das ist ähnlich wie das Gerücht mit dem Kohlepapier um Drogen unsichtbar zu machen... Freut sich jeder Zollbeamte weil das ding wie nen Weihnachtsbaum am Röntgen aufleuchtet... Und nicht anders sieht es aus wenn ein Rechner im Log übermäßig viel nur auf https-Seiten unterwegs ist. Und selbstverständlich reicht es aus deine Cookies zu löschen - weil du damit das Server-Protokoll auch änderst...
Und jetzt überleg nochmal was der Tipp mit Unterlassung wohl damit zu tun hat dass DAS die einzige Möglichkeit ist wie man dafür sorgen kann das der Admin nicht an Passwörter kommt...