Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Abruf von html Seiten per SSL-Verbindung über eine "Proxy-Domain"

Mitglied: braintrash

braintrash (Level 1) - Jetzt verbinden

11.01.2005 um 22:51 Uhr, 6551 Aufrufe

Mit einer Proxy-Domain meine ich eine Domain, die einfach nur Seiten einer anderen Domain aufruft und unter ihrem Namen (und ihrem SSL-Fingerprint) dem User zur Verfügung stellt.

Hy Leutz!

Die Grafik unten stellt zwei imaginäre Domains dar. Black.com und White.com . Der User hat bereits die Website black.com in seinem Browser geöffnet, öffnet ein neues Tab und gibt die URL: https://www.black.com/white ein.

1.Bedingung ist: Wenn er dies tut, bekommt er automatisch Content von white.com geliefert, ist sich dessen jedoch nicht bewußt. Der User sieht immer black.com/white und den zugehörigen Fingerprint von black.com.

Technisch passiert folgendes: Der Proxy (nicht proxy-Modul "mod_proxy" vom guten apache) leitet die Anfrage an /white an die Domain white.com weiter. Die Verbindung soll immer dann verschlüsselt sein, wenn sie einen Server in ein unsicheres Netz (Internet) verläßt.

2. Bedingung ist: Die Zertifikate zwischen black.com und white.com sind gegenseitig bekannt und gültig bzw. werden gegenseitig anerkannt.

Nun antwortet white.com mit html-code (wieder per SSL), der potenziell als unsicher einzustufen ist. Der Proxy black.com leitet diese html-Antwort an den User weiter. Voilà. Der User hat eine Antwort von white.com, obwohl er black.com/white angefordert hat und diesen Fingerprint prüfte.

3. Bedingung: black.com soll durch viele beliebige Domains ersetzt werden können, die alle per /white auf white.com verweisen.

Meine Frage:

Wenn ich der Eigner von black.com bin. Wie kann ich mir sicher sein, dass white.com keinen fehlerhaften Code an den User unter meiner Domain black.com und meinem fingerprint liefert? Weiterhin soll keine cross-site-scripting attacke auf die Seite black.com möglich sein.

Oke, liebe Leute. Bitte helft mir. Es handelt sich um einen realen Anwendungsfall und nur um es klarzustellen, bin ich kein Phisher oder Rassist.

MfG thebrain

P.S. Eine wahre Herausforderung für diese Community, ich bin gespannt. Bitte Tag und Nacht Fragen stellen, ich brauch keinen Schlaf.

<img src='/images/articles/52ae0ca1c75b5e4aa2c647fbf37e12aa-question.jpg' align='default' hspace='0' vspace='0' border='0'>
Ähnliche Inhalte
Webentwicklung
Auswahlfenster auf HTML-Seite?
gelöst Frage von mabue88Webentwicklung4 Kommentare

Hallo, ich suche nach einer Möglichkeit ein Auswahlfenster in einer Webseite zu integrieren. Bis jetzt konnte ich im Netz ...

Webbrowser

Einige Seiten werden mit Firefox nicht mehr über SSL aufgerufen

gelöst Frage von CoreknabeWebbrowser5 Kommentare

Moin, seit dem Update auf Firefox 57.0.x ist mir aufgefallen, dass einige Webseiten über HTTP und nicht verschlüsselt über ...

HTML

WMV-Video in HTML-Seite einbinden

gelöst Frage von mabue88HTML3 Kommentare

Hallo, ich brauche eine Möglichkeit, um ein WMV-Video in einer Webseite abspielen zu können. Ideal wäre es, wenn das ...

JavaScript

Knoten in fremder HTML-Seite ausblenden ?

gelöst Frage von bonsai132JavaScript6 Kommentare

Hallo, mich stört bei der site : (bei zoom 300%) dass die (störende) "sidebar" eingeblendet ist. Bisher habe ich ...

Neue Wissensbeiträge
Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 1 TagWindows 10

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 1 TagVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 2 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Windows Update

Microsoft Patchday Juni 2018 - BSOD, obwohl noch kein Patch freigegeben

Erfahrungsbericht von diemilz vor 2 TagenWindows Update7 Kommentare

Hallo zusammen, wir hatten hier letzte Woche ein massives Problem. Alles begann damit, dass ein Mitarbeiter kurz vor Feierabend ...

Heiß diskutierte Inhalte
Windows Userverwaltung
User Überwachung
gelöst Frage von YellowcakeWindows Userverwaltung37 Kommentare

Hey ich habe von unserem neuem Datenschutzbeauftragten ein kleines Horror Paket bekommen. Ich soll wenn es möglich ist, das ...

Windows Installation
Adobe Reader noch notwendig?
gelöst Frage von EitieOSWindows Installation24 Kommentare

Muss ich mir noch die Arbeit machen und den Adobe Reader installieren und aktuell halten, wenn doch in Win10 ...

Video & Streaming
PVR-Projekt - RTSP - Streams auf NAS aufnehmen - welche Tools sind am leichtesten einzurichten ?
Frage von power-userVideo & Streaming21 Kommentare

Hallo zusammen, hier die Details zur obigen Frage: AAusgangspunkt / Grundvoraussetzungen Wir betreiben hier ein kleines Heimnetzwerk. 2 Smartphones, ...

Outlook & Mail
Nachweis des Löschens einer Email nach DSGVO in Outlook
Frage von linuxadmOutlook & Mail18 Kommentare

Hallo Forum, wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden. Konkret geht ...