nachtfuchs
Goto Top

Lokale Spuren bei HTTPS

Hallo,
wenn ich mich von einem Firmen-PC auf einer https Seite angemelde, wird das Kennwort dann irgendwo lokal oder im Netz (zwischen)gespeichert so dass es später mal gefunden/geknackt werden kann?

Danke

Content-ID: 145012

Url: https://administrator.de/contentid/145012

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

yumper
yumper 16.06.2010 um 22:46:42 Uhr
Goto Top
Gespeichert wird bei Firefox im Passwotsafe egal ob http oder https im ie kannst es einstellen ob das pw gespeichert werden soll.
DrBulla
DrBulla 16.06.2010 um 23:58:28 Uhr
Goto Top
Das ist wohl keine Antwort auf seine Frage, mmh?
DrBulla
DrBulla 17.06.2010 um 00:02:06 Uhr
Goto Top
Ich denke du stellst dir dieselbe Frage, die mir auch manchmal durch den Kopf geht.
Was, wenn in der Firma der Admin auf dem Proxy ....
Aber soweit ich denken kann, übermittelt der Browser das durch das HttpSecure mit 128bit Schlüssel - insofern ...
Und die Wahrscheinlichkeit mit dem Admin und dem Proxy .. naja.
Ein Keylogger wäre da einfacher!
maretz
maretz 17.06.2010 um 06:49:14 Uhr
Goto Top
Moin,

dann erzähle ich euch mal was aus der Trickkiste des Admins ;). Rein Theoretisch komme ich natürlich auch an die Passwörter der Benutzer ran - ist recht einfach: Ich geh an deren Rechner und melde mich mit deren Account an. Wenn die Passwörter gespeichert sind dann intressiert mich das eigentliche PW ja nicht - warum auch?

ABER: Mich intressiert auch nicht wo welches PW verwendet wird. Warum auch? Ich kann an der URL ja schon sehen was "ihr" macht. D.h. wenn privatnutzung erlaubt ist dann gucke ich ins Log und sehe schon anhand der URLs ob da irgendwas trotzdem verbotenes abläuft (z.B. wenn in der URL was von torrent steht kann man ja auch sehen welche Datei genau geladen wurde...). Oder wenn die privat-Nutzung verboten ist dann sehe ich wenn ihr trotzdem eine URL aufruft - und das is dann auch egal ob ihr https oder http nehmt. Der INHALT der Seite intressiert mich dann herzlich wenig.

Und jetzt nehmen wir an das es sich um eine "grenzwertige" Seite handelt. Jetzt gibt es eigentlich nur 2 Optionen:
a) Ich geh zu der Person hin und kläre das im Gespräch. Dabei ist mir das Passwort völlig egal - die Person hat sich dann da direkt anzumelden und mich davon zu überzeugen das die Seite "ok" ist.
b) Weigert sich die Person - ok, natürlich kann ich nicht verlangen das nen PW rausgegeben wird (grad bei privaten Seiten). Allerdings kann ich die Seite dann ohne weitere Kommentare sperren, ein Gespräch mit der GL veranlassen und notfalls sogar den Internetzugang nur noch auf explizit erlaubte Webseiten reduzieren.

Von daher stellt sich die Frage für mich gar nicht. Ich hab gar keine Lust mir die Passwörter der User zu merken - und auch keine Zeit mir da irgendwas auszulesen. Sorry - aber ich werde fürs Arbeiten bezahlt und nicht dafür die privaten Seiten der Leute von uns "nachzugucken" (Ganz davon abgesehen das der Zugriff auf nen privates Postfach durch den Admin zimlich hart bestraft wird wenn man dafür das PW des Benutzers knackt...). Nebenbei intressiert es mich auch ehrlich gesagt überhaupt nicht was die Leute so privat machen - allein schon aus "Selbstschutz" und Respekt gegenüber dem Privatleben jeder Person (ich möchte auch nicht das meine Kollegen alles über mich wissen...)

Aber nochmal zum Thema "Passwort". Nehmen wir jetzt an das ein User auf ner HTTPS-Seite ist und ich die Zugangsdaten UNBEDINGT benötige / will. In dem Fall ist es auch nicht weiter schwer. ICH betreue in der Firma den DNS, ICH kann den Webserver steuern und kann dort beliebige Scripte drauf laufen lassen. Wenn man jetzt mal in den Bereich "Man-in-the-middle" guckt dann kann man sich vorstellen das es ab jetzt ein leichtes ist auch HTTPS-Passwörter zu bekommen. Klar - nich aus dem Datenstrom -> das is mir zu blöde den mitzuschneiden. Nein - ich bringe euch dazu einfach das Passwort auf "meiner" Seite einzugeben und packe es schön elegant in ne DB. Und wer von euch würde denn wirklich was vermuten wenn nach der PW-Eingabe die übliche Firmen-Fehlerseite (Zugang wurde durch Richtlinien verboten o.ä.) kommt? Ok, der Admin hat die Seite gesperrt - kein Grund das eigene PW zu ändern... (Ich sehe diesen Absatz übrigens NICHT als Anleitung zum Hacken o. sonstwas das gegen die Foren-Regeln verstößt... Ich denke jeder Admin der die Möglichkeit hat diese Server zu steuern weiss selbst wie einfach das geht...).
manuel-r
manuel-r 17.06.2010 um 07:54:27 Uhr
Goto Top
Da wir hier fast alle Admins sind hätten wir, wenn wir wollten und dürften, alle Möglichkeiten unsere User auszuspionieren. Wir wollen aber gar nicht, was das "nicht dürfen" schon gar nicht mehr notwendig macht. Jedem verantwortungsvollen Admin dürfte klar sein, was er
  • 1. mit so einer Aktion auslöst
  • 2. an Konsequenzen zu befürchten hat wenn es raus kommt
  • 3. nach dem Auffliegen noch an Zeit in der Firma verbringen wird und
  • 4. zukünftig für Arbeiten verrichten wird
Und noch zu dem "wie ginge es" von Maretz: Wenn ich Admin bin und (Fern-)Zugriff auf die Clients habe brauche ich gar keine Man-in-the-Middle zu machen, da gibt es einfachere Lösungen. Admin ist aber nun mal per se ein Vertrauensjob. Als Chef muss ich mich 100% darauf verlassen können, dass er keinen Mist macht.
nachtfuchs
nachtfuchs 17.06.2010 um 18:39:35 Uhr
Goto Top
Das klingt irgendwie nach Firmen mit weniger als 20 Mitarbeitern und nem Admin mit Potenzproblemen *g*.

Rechtsliche und disziplinarische Aspekte spielen keine Rolle, ich fragte nur nach lokalen Spuren von einer HTTPS Nutzung.
Mit Spuren meine ich normale Rückstände die man entschlüsseln könnte. Scripte, Fernzugriff, Keylogger usw. lassen wir mal aussen vor.

Also
1) ich checke vom Firmenarbeitsplatz aus private eMails via HTTPS
2) ich melde mich von der Arbeit aus hier an via HTTP

Über Cookies Links usw. kommt man leicht an die Usernamen, aber werden die Passwörter gespeichert, wenn ich sie im Browser nicht speicher?
Besteht da ein Unterschied zwischen HTTP/S ?
gnarff
gnarff 17.06.2010 um 19:27:35 Uhr
Goto Top
Passwoerter oder Surfverhalten der Mitarbeiter aufzuzeichen oder zu ueberwachen ist nicht ohne Weiteres erlaubt.
Beim Aufbau einer Verbindung werden Pakete gesendet. Bei HTTP steht einem die Information in Plaintext zur Verfuegung, bei HTTPS werden die Informationen mit dem TLS-Protokoll 1.2 verschluesselt, siehe hierzu auch
RFC 5246

Wenn Du dich auf einer Seite einloggst und die Option "eingeloggt bleiben" oder "automatisch einloggen" waehlst wird die dazu benoetigte Information in dem Cookie abgelegt, i.d.R. sind die dort abgelegten Informationen verschluesselt. Passwoerter werden nicht in einem Cookie gespeichert.
Ich hoffe, das beantwortet deine Frage..

Saludos
Jan
manuel-r
manuel-r 17.06.2010 um 21:36:53 Uhr
Goto Top
Das klingt irgendwie nach Firmen mit weniger als 20 Mitarbeitern und nem Admin mit Potenzproblemen

Für meinen Teil muss ich dich da enttäuschen.
Wir haben hier ~160 User an ebensovielen Clients die mal mehr mal weniger viel auf ingesamt 47 (größtenteils virtuellen) Servern arbeiten, deren ESX-Cluster sich über 2 Standorte, einen weiteren kleineren Standort und eine variable Anzahl an Baustellen erstreckt. Und nicht zuletzt: Ich habe drei Kinder.
Ich hoffe die Frage ist damit beantwortet face-wink
maretz
maretz 18.06.2010 um 06:05:47 Uhr
Goto Top
Moin,

hmm - ok, wir lassen mal alles aussen vor wie man da an die daten kommen könnte. Am besten lassen wir auch noch aussen vor das jemand hinter dir stehen könnte, das jemand deinen Zettel mit all deinen privaten Passwörtern (der direkt auf dem Schreibtisch liegt) liest. Und natürlich lassen wir aussen vor das es Leute gibt die sich überhaupt dafür intressieren.

Nein - also wenn wir alle diese Punkte ausser acht lassen - dann ist es nicht möglich das Surfverhalten / die PWs zu bekommen.

Leider ist es nur in der Realität so das der Admin sich um deine Cookies herzlich wenig schert - denn da könntest du ja einfach den Browser-Cache löschen und die Sache hat sich erledigt. Und schon wird die Sache intressant - denn plötzlich kommt all das zum Tragen was du asser acht lässt.

Die EINZIGE sichere Methode das zu verhindern: Auf dem Arbeitsplatz einfach keine privaten Mails machen. Denn das kann man auch zuhause erledigen - da brauch ich mir keine Sorgen machen ob der Admin nun an meine Mails kommt...
DrBulla
DrBulla 18.06.2010 um 06:46:22 Uhr
Goto Top
Genau, penibel alles gelöscht (Cache, Temp etc) und an der index.dat scheitern ;)

Und die Datei geht echt ab. Stehen aber auch keine Passwörter drin.
nachtfuchs
nachtfuchs 20.06.2010 um 22:32:38 Uhr
Goto Top
@gnarff ja danke, beste Antwort face-smile

@Manuel war ja alles off topic, völlig uninteressant!

@maretz genau der Blick über die Schulter oder Notiz-Zettel spielen keine Rolle, da meine Frage ja auf die technik bezogen war. Den Satz mit "Leider ist es nur in der Realität so das der Admin sich um deine Cookies herzlich wenig schert" verstehe ich nicht. Was meinst du mit leider?! Und warum sollte ein Admin sich überhaupt für Usercockies interessieren?! Die lösche ich aber und speicher auch keine Passwörter.
Den Tip mit der Unterlassung ignoriere ich mal, hat ja auch mit der Frage nix zu tun.


@DrBulla Cache und Temp kann ich alles löschen, nur die index.dat kann ich nicht mit den üblichen Tricks umgehen, da die Rechner schon vom Boot vorgang aus gesichert sind. Ich sagte ja, ich habe "im Moment" einen Job wo ich keine Adminrechte habe und die Administration sehr.. ich sag mal DAU Sicher gestrickt ist. Ist halt ein großer Konzern, aber auch da gibts ja Leute in der IT Abteilung die grad mal langeweile haben.

Ich werde auch später mal nach einem eventuellen ausscheiden nicht die Möglichkeit haben den PC zu "säubern". Deswegen meine Fragen was lokal gespeichert wird face-smile
maretz
maretz 21.06.2010 um 07:40:01 Uhr
Goto Top
Hmm - irgendwie hab ich das Gefühl du gibst dir alle Mühe das nicht zu verstehen!

Also nochmal extra für dich und im Klartext: Was du auf dem PC machst ist dem Admin zimlich latte. Nehmen wir nur mal an das dein Chef dich loswerden will und der Admin da helfen soll/darf/will. Dann kannst du deinen PC formatieren, Abfackeln und aus dem Fenster werfen - HF & GL. Das wird den Admin nicht für einen Moment daran hindern dir trotzdem kurz später genau zu sagen wo du warst, was du gemacht hast und - bei Bedarf - auch welche Passwörter du verwendet hast. Denn es gibt hier nunmal nur 2 Optionen:
a) Der Admin hält sich daran was er darf. Dann intressiert ihm dein Passwort nicht weil er es eh nicht verwenden darf/wird. Er weiss trotzdem wo du am Surfen warst und kann allein daraus seine Schlüsse ziehen.
b) Der Admin hält sich nicht daran. NUR dann intressiert dein Passwort und sonstiger Bullshit. Aber da ist es dann eben wie bei den Jedi's: Mächtig die dunkle Seite sie ist! In dem Fall habe ich die Möglichkeit dir den gesamten PC zu überwachen. Dabei geht es vom Keylogger bis hin zum "über die Schulter gucken" per Fernwartung (und das merkst du nicht).

Aber gut - geh jetzt mal davon aus das du sicher bist wenn du HTTPs nutzt. Das ist ähnlich wie das Gerücht mit dem Kohlepapier um Drogen unsichtbar zu machen... Freut sich jeder Zollbeamte weil das ding wie nen Weihnachtsbaum am Röntgen aufleuchtet... Und nicht anders sieht es aus wenn ein Rechner im Log übermäßig viel nur auf https-Seiten unterwegs ist. Und selbstverständlich reicht es aus deine Cookies zu löschen - weil du damit das Server-Protokoll auch änderst...

Und jetzt überleg nochmal was der Tipp mit Unterlassung wohl damit zu tun hat dass DAS die einzige Möglichkeit ist wie man dafür sorgen kann das der Admin nicht an Passwörter kommt...
nachtfuchs
nachtfuchs 05.12.2010 um 20:16:15 Uhr
Goto Top
Sorry, hilft mir absolut nicht. Ich surfe weder den ganzen Tag im Internet, sonst interessieren mich irgendwelche Hacker Geschichten.