Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verschlüsselt SSL auch Passwörter, welche in einer URL übertragen werden?

Mitglied: Dieterfragt

Dieterfragt (Level 1) - Jetzt verbinden

12.09.2013 um 09:20 Uhr, 4177 Aufrufe, 6 Kommentare, 5 Danke

Hallo zusammen,

oft sieht man Aufrufe der nachfolgenden Art:

https://www.beispielseite.de/login.php?user=benutzername&pass=passwo ...


Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst verschlüsselt übertragen wird?

Danke und Gruß,
Dieter
Mitglied: fnord2000
12.09.2013 um 09:37 Uhr
Bei HTTPS wird zuerst die Verschlüsselung ausgehandelt, bevor irgendwelche Nutzdaten über den Kanal gehen. Diese URL würde also erst übermittelt, wenn bereits verschlüsselt wird.


Das ist unter anderem auch der Grund, warum virtuelle Hosts und Verschlüsselung ursprünglich so ein Problem darstellten, weil der Server erst durch die Anfrage erfährt welchen Host der Nutzer besuchen will, also im Voraus nicht weiß welches Zertifikat (sofern mehrere nötig sind) präsentiert werden musste.
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 09:54 Uhr
Danke für deine Antwort. Bedeutet das, dass man auf einem Proxy oder per Wireshark nur noch sehen würde, dass der User sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!? (vorausgesetzt alle Unterseiten würden SSL benutzen). Weil die URL ist ja dann verschlüsselt, wenn ich das richtig verstanden habe ..
Bitte warten ..
Mitglied: MartinBinder
12.09.2013 um 10:07 Uhr
Ja, so ist es. Kannst Du ja auch ganz einfach ausprobieren... Den eigentlichen Traffic-Inhalt siehst Du nur, wenn Du in Wireshark das SSL-Zertifikat des Servers (samt Private Key) importierst oder den Traffic im Browser analysierst (Firebug oder Entwicklertools des IE).
Bitte warten ..
Mitglied: Lochkartenstanzer
12.09.2013 um 11:21 Uhr
Zitat von Dieterfragt:
sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!?

Nein er sieht nur, daß der benutzer mit dem Host an der IP-Adresse a.b.c.d spricht per ssl auf Port 443 spricht. Welchen Namen der ggf. virtuelle Host (z.B. www.beispielseite.de) sieht er nur, wenn er vorher die DNS-Abfrage gesehen hat und diese zu der IP-Adresse passt.

lks
Bitte warten ..
Mitglied: Cthluhu
12.09.2013 um 13:51 Uhr
Hi,
Zitat von Dieterfragt:
Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst
verschlüsselt übertragen wird?
In Wireshark/Proxies sind die URL-Parameter nicht sichtbar. Jedoch für alle die am Monitor vorbeigehen. Mich würde so eine Seite beunruhigen, wenn ich beim Surfen mein Passwort oben in der URL stehen hab.

mfg

Cthluhu
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 14:07 Uhr
Danke an alle.

@Cthluhu: Sehe ich genauso. Könnte ja aber auch sein, dass das Passwort verschlüsselt in der URL steht. Das ist ja auch durchaus üblich. Dann könnte ja jmd. einfach die URL abfangen und nochmal schicken (Replay-Attack heißt das dann wohl). Aber so leicht kommt man ja offensichtlich nicht an die URL und des Weiteren würde TLS das ja erkennen, wenn ich Wikipedia richtig gelesen habe
Bitte warten ..
Ähnliche Inhalte
Sicherheit

HTTPS SSL Passwort bekannt, Hack-möglich ?

gelöst Frage von decehakanSicherheit7 Kommentare

Hallo Leute, hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support ...

Firewall

Software-URL-Filter auch für TLS-SSL für Win2008R2-Server gesucht

Frage von usercrashFirewall1 Kommentar

Guten Abend, gesucht wird ein Software-Filter/ Proxy, der es erlaubt, zunächst alle URLs ausgehend zu sperren und dann nur ...

Apache Server

Rewrite URL

gelöst Frage von honeybeeApache Server2 Kommentare

Hallo, ich möchte, dass die URL automatisch und dauerhaft von host.domain.de auf host.domain.de/page geändert wird. Wie stelle ich das ...

PHP

Saubere URL

gelöst Frage von pcguyPHP4 Kommentare

Hallo zusammen, ich verwende in einer kleinen Webseite folgenden Code um den Seiteninhalt hinzuzufügen Damit die URL besser lesbar ...

Neue Wissensbeiträge
Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 2 StundenMicrosoft Office

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 5 StundenNetzwerkmanagement1 Kommentar

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 1 TagVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 5 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server37 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

Netzwerkprotokolle
Verständnissfrage IPv6
Frage von killtecNetzwerkprotokolle22 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP20 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...