chrfriedel
Goto Top

Techniken zur URL - Verschleierung

Hallo Administratoren,

ich hätte mal wieder eine Frage. In diesem Falle bin ich mir aber nicht ganz sicher ob es nicht ne dumme Frage ist face-smile

Folgendes Szenario:

Ich habe eine Intranetanwendung (Classic ASP) bei einem Kunden die auf einem IIS läuft. Diese Intranetanwendung soll nun über das Internet auch von aussen verfügbar gemacht werden.

Das Problem was ich nun habe ist, dass diese Anwendung für das Login eine URL mit Parametern aufruft in der Username und Passwort im Klartext(!) übergeben werden. Der einzig richtige Weg wäre natürlich die Anwendung anzupassen und einen besseren Loginmechanismus zu implementieren, jedoch ist dies für mich nicht möglich.

Da ich aber Bauchschmerzen davon bekomme das die Zugangsdaten der Nutzer einfach so in der URL über das Internet wandern bin ich nun auf der Suche dieses Problem wenigstens zu mildern. Fällt dazu jemandem etwas ein? Ist HTTPS als Lösung bereits ausreichend? Hier hab ich zugegeben ein paar Wissenslücken ;)


In Kurzform nochmal:

Kann ich eine URL der Form http://SERVER/Anwendung/login.asp?user=Bernd&pass=12345 so verschleiern das die Anwendung davon nichts merkt aber unterwegs alle Stationen eben nicht wissen was in den Parametern stand? Tut HTTPS das oder verschlüsselt das nur Inhalte?

Grüße

Content-ID: 277219

Url: https://administrator.de/contentid/277219

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

certifiedit.net
certifiedit.net 13.07.2015 aktualisiert um 16:55:48 Uhr
Goto Top
Hallo Chr?,

ich würde mich auf jeden Fall auf HTTPS verlegen. Zu dem wäre es natürlich geschickt, wenn die Applikation auch die Daten so gut es geht verschlüsselt (Post statt get).

Wir können uns gerne in Hinsicht auf WebApplikation Sicherheit und HTTPS mal zusammenschreiben, vielleicht ergibt sich für die Zukunft auf dem Gebiet eine Ko-Op.

Beste Grüße,

Christian
ChrFriedel
ChrFriedel 13.07.2015 um 17:21:25 Uhr
Goto Top
Grüß dich Namensvetter face-smile

und danke das du dir die Zeit genommen hast zu antworten face-smile Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern, muss also auch in Zukunf damit leben.

Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router, Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst genau so verschlüsselt wie Nutzdaten?

Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes face-smile Prinzipiell ist es aber nie verkehrt wenigstens den Kontakt von ein paar Spezialisten zu kennen
certifiedit.net
certifiedit.net 13.07.2015 um 17:31:56 Uhr
Goto Top
Zitat von @ChrFriedel:

Grüß dich Namensvetter face-smile

und danke das du dir die Zeit genommen hast zu antworten face-smile Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs
werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern,
muss also auch in Zukunf damit leben.

Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router,
Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst
genau so verschlüsselt wie Nutzdaten?

Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst
üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes face-smile Prinzipiell ist es aber nie verkehrt
wenigstens den Kontakt von ein paar Spezialisten zu kennen

Für diese Problemstellung empfehle ich dir einfach mal einen Wireshark anzuwerfen.

http://blog.httpwatch.com/2009/02/20/how-secure-are-query-strings-over- ...

Nein, wird dadurch nicht verschlüsselt - woher kommt die Applikation denn?

Gerne, wenn sich was ergibt, klopfst an.
ChrFriedel
ChrFriedel 14.07.2015 um 13:32:45 Uhr
Goto Top
Ich dachte es mir schon fast... mist. Kennst du denn irgendwelche Techniken um den url-string ab zu sichern?

Und ich kenne den wireshark zwar, zumindest als er noch ethereal hieß, aber ich hätte erst ne Testumgebung damit aufsetzten müssen, war mir zugegeben zuviel Arbeit face-smile

Grüße
Pago159
Pago159 15.07.2015 um 14:31:39 Uhr
Goto Top
Hallo Christian,
du könntest natürlich auch ein eigenes Webinterface mit entsprechender Verschlüsselung Programmieren und dann die Daten verschlüsselt weiterreichen.
Das ist allerdings dann auch noch etwas arbeit (vorausgesetzt, die Anwendung unterstützt das ganze / lässt die Weiterreichung von Daten zu).
Um welche Anwendung handelt es sich denn?

Lg