Techniken zur URL - Verschleierung
Hallo Administratoren,
ich hätte mal wieder eine Frage. In diesem Falle bin ich mir aber nicht ganz sicher ob es nicht ne dumme Frage ist
Folgendes Szenario:
Ich habe eine Intranetanwendung (Classic ASP) bei einem Kunden die auf einem IIS läuft. Diese Intranetanwendung soll nun über das Internet auch von aussen verfügbar gemacht werden.
Das Problem was ich nun habe ist, dass diese Anwendung für das Login eine URL mit Parametern aufruft in der Username und Passwort im Klartext(!) übergeben werden. Der einzig richtige Weg wäre natürlich die Anwendung anzupassen und einen besseren Loginmechanismus zu implementieren, jedoch ist dies für mich nicht möglich.
Da ich aber Bauchschmerzen davon bekomme das die Zugangsdaten der Nutzer einfach so in der URL über das Internet wandern bin ich nun auf der Suche dieses Problem wenigstens zu mildern. Fällt dazu jemandem etwas ein? Ist HTTPS als Lösung bereits ausreichend? Hier hab ich zugegeben ein paar Wissenslücken ;)
In Kurzform nochmal:
Kann ich eine URL der Form http://SERVER/Anwendung/login.asp?user=Bernd&pass=12345 so verschleiern das die Anwendung davon nichts merkt aber unterwegs alle Stationen eben nicht wissen was in den Parametern stand? Tut HTTPS das oder verschlüsselt das nur Inhalte?
Grüße
ich hätte mal wieder eine Frage. In diesem Falle bin ich mir aber nicht ganz sicher ob es nicht ne dumme Frage ist
Folgendes Szenario:
Ich habe eine Intranetanwendung (Classic ASP) bei einem Kunden die auf einem IIS läuft. Diese Intranetanwendung soll nun über das Internet auch von aussen verfügbar gemacht werden.
Das Problem was ich nun habe ist, dass diese Anwendung für das Login eine URL mit Parametern aufruft in der Username und Passwort im Klartext(!) übergeben werden. Der einzig richtige Weg wäre natürlich die Anwendung anzupassen und einen besseren Loginmechanismus zu implementieren, jedoch ist dies für mich nicht möglich.
Da ich aber Bauchschmerzen davon bekomme das die Zugangsdaten der Nutzer einfach so in der URL über das Internet wandern bin ich nun auf der Suche dieses Problem wenigstens zu mildern. Fällt dazu jemandem etwas ein? Ist HTTPS als Lösung bereits ausreichend? Hier hab ich zugegeben ein paar Wissenslücken ;)
In Kurzform nochmal:
Kann ich eine URL der Form http://SERVER/Anwendung/login.asp?user=Bernd&pass=12345 so verschleiern das die Anwendung davon nichts merkt aber unterwegs alle Stationen eben nicht wissen was in den Parametern stand? Tut HTTPS das oder verschlüsselt das nur Inhalte?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277219
Url: https://administrator.de/contentid/277219
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Chr?,
ich würde mich auf jeden Fall auf HTTPS verlegen. Zu dem wäre es natürlich geschickt, wenn die Applikation auch die Daten so gut es geht verschlüsselt (Post statt get).
Wir können uns gerne in Hinsicht auf WebApplikation Sicherheit und HTTPS mal zusammenschreiben, vielleicht ergibt sich für die Zukunft auf dem Gebiet eine Ko-Op.
Beste Grüße,
Christian
ich würde mich auf jeden Fall auf HTTPS verlegen. Zu dem wäre es natürlich geschickt, wenn die Applikation auch die Daten so gut es geht verschlüsselt (Post statt get).
Wir können uns gerne in Hinsicht auf WebApplikation Sicherheit und HTTPS mal zusammenschreiben, vielleicht ergibt sich für die Zukunft auf dem Gebiet eine Ko-Op.
Beste Grüße,
Christian
Zitat von @ChrFriedel:
Grüß dich Namensvetter
und danke das du dir die Zeit genommen hast zu antworten Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs
werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern,
muss also auch in Zukunf damit leben.
Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router,
Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst
genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst
üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes Prinzipiell ist es aber nie verkehrt
wenigstens den Kontakt von ein paar Spezialisten zu kennen
Grüß dich Namensvetter
und danke das du dir die Zeit genommen hast zu antworten Ich glaub allerdings nicht das du mich richtig verstanden hast. HTTPs
werde ich natürlich einsetzten, aber an der Anwendung selbst kann ich mangels Sourcen und Zugriff leider nichts ändern,
muss also auch in Zukunf damit leben.
Der Kern der Frage zielt also eher auf den Funktionsumfang von HTTPS. Anders gefragt, können die Geräte (Router,
Switche, Sniffer in öffentlichen WLANs,o.ä.) die URL im Klartext mitlesen wenn HTTPS aktiv ist oder ist die URL selbst
genau so verschlüsselt wie Nutzdaten?
Bezüglich der Ko-Op hätte ich Moment wohl nicht viel für dich zu tun, wir erledigen solche Themen sonst
üblicherweise nicht, in diesem Falle ist es ein Unterprojekt eines Unterprojektes Prinzipiell ist es aber nie verkehrt
wenigstens den Kontakt von ein paar Spezialisten zu kennen
Für diese Problemstellung empfehle ich dir einfach mal einen Wireshark anzuwerfen.
http://blog.httpwatch.com/2009/02/20/how-secure-are-query-strings-over- ...
Nein, wird dadurch nicht verschlüsselt - woher kommt die Applikation denn?
Gerne, wenn sich was ergibt, klopfst an.
Hallo Christian,
du könntest natürlich auch ein eigenes Webinterface mit entsprechender Verschlüsselung Programmieren und dann die Daten verschlüsselt weiterreichen.
Das ist allerdings dann auch noch etwas arbeit (vorausgesetzt, die Anwendung unterstützt das ganze / lässt die Weiterreichung von Daten zu).
Um welche Anwendung handelt es sich denn?
Lg
du könntest natürlich auch ein eigenes Webinterface mit entsprechender Verschlüsselung Programmieren und dann die Daten verschlüsselt weiterreichen.
Das ist allerdings dann auch noch etwas arbeit (vorausgesetzt, die Anwendung unterstützt das ganze / lässt die Weiterreichung von Daten zu).
Um welche Anwendung handelt es sich denn?
Lg