dieterfragt
Sep 12, 2013
view7879
view6
1
Goto Top

Verschlüsselt SSL auch Passwörter, welche in einer URL übertragen werden?

GermanQuestionWeb DevelopmentDevelopment
Hallo zusammen,

oft sieht man Aufrufe der nachfolgenden Art:

https://www.beispielseite.de/login.php?user=benutzername&pass=passwo ...


Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst verschlüsselt übertragen wird?

Danke und Gruß,
Dieter
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 216751

Url: https://administrator.de/contentid/216751

Printed on: April 18, 2024 at 10:04 o'clock

6 Comments
Latest comment
Goto Top
Member: fnord2000
fnord2000 Sep 12, 2013 at 07:37:09 (UTC)
Goto Top
Bei HTTPS wird zuerst die Verschlüsselung ausgehandelt, bevor irgendwelche Nutzdaten über den Kanal gehen. Diese URL würde also erst übermittelt, wenn bereits verschlüsselt wird.


Das ist unter anderem auch der Grund, warum virtuelle Hosts und Verschlüsselung ursprünglich so ein Problem darstellten, weil der Server erst durch die Anfrage erfährt welchen Host der Nutzer besuchen will, also im Voraus nicht weiß welches Zertifikat (sofern mehrere nötig sind) präsentiert werden musste.
heart2
Member: Dieterfragt
Dieterfragt Sep 12, 2013 at 07:54:45 (UTC)
Goto Top
Danke für deine Antwort. Bedeutet das, dass man auf einem Proxy oder per Wireshark nur noch sehen würde, dass der User sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!? (vorausgesetzt alle Unterseiten würden SSL benutzen). Weil die URL ist ja dann verschlüsselt, wenn ich das richtig verstanden habe ..
Member: MartinBinder
MartinBinder Sep 12, 2013 at 08:07:20 (UTC)
Goto Top
Ja, so ist es. Kannst Du ja auch ganz einfach ausprobieren... Den eigentlichen Traffic-Inhalt siehst Du nur, wenn Du in Wireshark das SSL-Zertifikat des Servers (samt Private Key) importierst oder den Traffic im Browser analysierst (Firebug oder Entwicklertools des IE).
heart1
Member: Lochkartenstanzer
Lochkartenstanzer Sep 12, 2013 at 09:21:29 (UTC)
Goto Top
Zitat von @Dieterfragt:
sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!?

Nein er sieht nur, daß der benutzer mit dem Host an der IP-Adresse a.b.c.d spricht per ssl auf Port 443 spricht. Welchen Namen der ggf. virtuelle Host (z.B. www.beispielseite.de) sieht er nur, wenn er vorher die DNS-Abfrage gesehen hat und diese zu der IP-Adresse passt.

lks
heart1
Member: Cthluhu
Cthluhu Sep 12, 2013 at 11:51:58 (UTC)
Goto Top
Hi,
Zitat von @Dieterfragt:

Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst
verschlüsselt übertragen wird?
In Wireshark/Proxies sind die URL-Parameter nicht sichtbar. Jedoch für alle die am Monitor vorbeigehen. Mich würde so eine Seite beunruhigen, wenn ich beim Surfen mein Passwort oben in der URL stehen hab.

mfg

Cthluhu
heart1
Member: Dieterfragt
Dieterfragt Sep 12, 2013 at 12:07:41 (UTC)
Goto Top
Danke an alle.

@Cthluhu: Sehe ich genauso. Könnte ja aber auch sein, dass das Passwort verschlüsselt in der URL steht. Das ist ja auch durchaus üblich. Dann könnte ja jmd. einfach die URL abfangen und nochmal schicken (Replay-Attack heißt das dann wohl). Aber so leicht kommt man ja offensichtlich nicht an die URL und des Weiteren würde TLS das ja erkennen, wenn ich Wikipedia richtig gelesen habe face-smile
GermanQuestionWeb DevelopmentDevelopment
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment