5
Techniken zur URL - Verschleierung
Hallo Administratoren,
ich hätte mal wieder eine Frage. In diesem Falle bin ich mir aber nicht ganz sicher ob es nicht ne dumme Frage ist
Folgendes Szenario:
Ich habe eine Intranetanwendung (Classic ASP) bei einem Kunden die auf einem IIS läuft. Diese Intranetanwendung soll nun über das Internet auch von aussen verfügbar gemacht werden.
Das Problem was ich nun habe ist, dass diese Anwendung für das Login eine URL mit Parametern aufruft in der Username und Passwort im Klartext(!) übergeben werden. Der einzig richtige Weg wäre natürlich die Anwendung anzupassen und einen besseren Loginmechanismus zu implementieren, jedoch ist dies für mich nicht möglich.
Da ich aber Bauchschmerzen davon bekomme das die Zugangsdaten der Nutzer einfach so in der URL über das Internet wandern bin ich nun auf der Suche dieses Problem wenigstens zu mildern. Fällt dazu jemandem etwas ein? Ist HTTPS als Lösung bereits ausreichend? Hier hab ich zugegeben ein paar Wissenslücken ;)
In Kurzform nochmal:
Kann ich eine URL der Form http://SERVER/Anwendung/login.asp?user=Bernd&pass=12345 so verschleiern das die Anwendung davon nichts merkt aber unterwegs alle Stationen eben nicht wissen was in den Parametern stand? Tut HTTPS das oder verschlüsselt das nur Inhalte?
Grüße
ich hätte mal wieder eine Frage. In diesem Falle bin ich mir aber nicht ganz sicher ob es nicht ne dumme Frage ist
Folgendes Szenario:
Ich habe eine Intranetanwendung (Classic ASP) bei einem Kunden die auf einem IIS läuft. Diese Intranetanwendung soll nun über das Internet auch von aussen verfügbar gemacht werden.
Das Problem was ich nun habe ist, dass diese Anwendung für das Login eine URL mit Parametern aufruft in der Username und Passwort im Klartext(!) übergeben werden. Der einzig richtige Weg wäre natürlich die Anwendung anzupassen und einen besseren Loginmechanismus zu implementieren, jedoch ist dies für mich nicht möglich.
Da ich aber Bauchschmerzen davon bekomme das die Zugangsdaten der Nutzer einfach so in der URL über das Internet wandern bin ich nun auf der Suche dieses Problem wenigstens zu mildern. Fällt dazu jemandem etwas ein? Ist HTTPS als Lösung bereits ausreichend? Hier hab ich zugegeben ein paar Wissenslücken ;)
In Kurzform nochmal:
Kann ich eine URL der Form http://SERVER/Anwendung/login.asp?user=Bernd&pass=12345 so verschleiern das die Anwendung davon nichts merkt aber unterwegs alle Stationen eben nicht wissen was in den Parametern stand? Tut HTTPS das oder verschlüsselt das nur Inhalte?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 277219
Url: https://administrator.de/contentid/277219
Printed on: April 24, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hallo Chr?,
ich würde mich auf jeden Fall auf HTTPS verlegen. Zu dem wäre es natürlich geschickt, wenn die Applikation auch die Daten so gut es geht verschlüsselt (Post statt get).
Wir können uns gerne in Hinsicht auf WebApplikation Sicherheit und HTTPS mal zusammenschreiben, vielleicht ergibt sich für die Zukunft auf dem Gebiet eine Ko-Op.
Beste Grüße,
Christian
ich würde mich auf jeden Fall auf HTTPS verlegen. Zu dem wäre es natürlich geschickt, wenn die Applikation auch die Daten so gut es geht verschlüsselt (Post statt get).
Wir können uns gerne in Hinsicht auf WebApplikation Sicherheit und HTTPS mal zusammenschreiben, vielleicht ergibt sich für die Zukunft auf dem Gebiet eine Ko-Op.
Beste Grüße,
Christian
Grüß dich Namensvetter
und danke das du dir die Zeit genommen hast zu antworten Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern, muss also auch in Zukunf damit leben.
Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router, Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes Prinzipiell ist es aber nie verkehrt wenigstens den Kontakt von ein paar Spezialisten zu kennen
und danke das du dir die Zeit genommen hast zu antworten
Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern, muss also auch in Zukunf damit leben.Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router, Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes
Prinzipiell ist es aber nie verkehrt wenigstens den Kontakt von ein paar Spezialisten zu kennenZitat von @ChrFriedel:
Grüß dich Namensvetter
und danke das du dir die Zeit genommen hast zu antworten Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs
werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern,
muss also auch in Zukunf damit leben.
Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router,
Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst
genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst
üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes Prinzipiell ist es aber nie verkehrt
wenigstens den Kontakt von ein paar Spezialisten zu kennen
Grüß dich Namensvetter
und danke das du dir die Zeit genommen hast zu antworten
Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPswerde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern,
muss also auch in Zukunf damit leben.
Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router,
Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst
genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst
üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes
Prinzipiell ist es aber nie verkehrtwenigstens den Kontakt von ein paar Spezialisten zu kennen
Für diese Problemstellung empfehle ich dir einfach mal einen Wireshark anzuwerfen.
http://blog.httpwatch.com/2009/02/20/how-secure-are-query-strings-over- ...
Nein, wird dadurch nicht verschlüsselt - woher kommt die Applikation denn?
Gerne, wenn sich was ergibt, klopfst an.
Ich dachte es mir schon fast... mist. Kennst du denn irgendwelche Techniken um den url-string ab zu sichern?
Und ich kenne den wireshark zwar, zumindest als er noch ethereal hieß, aber ich hätte erst ne Testumgebung damit aufsetzten müssen, war mir zugegeben zuviel Arbeit
Grüße
Und ich kenne den wireshark zwar, zumindest als er noch ethereal hieß, aber ich hätte erst ne Testumgebung damit aufsetzten müssen, war mir zugegeben zuviel Arbeit
Grüße
Hallo Christian,
du könntest natürlich auch ein eigenes Webinterface mit entsprechender Verschlüsselung Programmieren und dann die Daten verschlüsselt weiterreichen.
Das ist allerdings dann auch noch etwas arbeit (vorausgesetzt, die Anwendung unterstützt das ganze / lässt die Weiterreichung von Daten zu).
Um welche Anwendung handelt es sich denn?
Lg
du könntest natürlich auch ein eigenes Webinterface mit entsprechender Verschlüsselung Programmieren und dann die Daten verschlüsselt weiterreichen.
Das ist allerdings dann auch noch etwas arbeit (vorausgesetzt, die Anwendung unterstützt das ganze / lässt die Weiterreichung von Daten zu).
Um welche Anwendung handelt es sich denn?
Lg
