Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verschlüsselt SSL auch Passwörter, welche in einer URL übertragen werden?

Frage Entwicklung Webentwicklung

Mitglied: Dieterfragt

Dieterfragt (Level 1) - Jetzt verbinden

12.09.2013 um 09:20 Uhr, 3451 Aufrufe, 6 Kommentare, 5 Danke

Hallo zusammen,

oft sieht man Aufrufe der nachfolgenden Art:

https://www.beispielseite.de/login.php?user=benutzername&pass=passwo ...


Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst verschlüsselt übertragen wird?

Danke und Gruß,
Dieter
Mitglied: fnord2000
12.09.2013 um 09:37 Uhr
Bei HTTPS wird zuerst die Verschlüsselung ausgehandelt, bevor irgendwelche Nutzdaten über den Kanal gehen. Diese URL würde also erst übermittelt, wenn bereits verschlüsselt wird.


Das ist unter anderem auch der Grund, warum virtuelle Hosts und Verschlüsselung ursprünglich so ein Problem darstellten, weil der Server erst durch die Anfrage erfährt welchen Host der Nutzer besuchen will, also im Voraus nicht weiß welches Zertifikat (sofern mehrere nötig sind) präsentiert werden musste.
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 09:54 Uhr
Danke für deine Antwort. Bedeutet das, dass man auf einem Proxy oder per Wireshark nur noch sehen würde, dass der User sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!? (vorausgesetzt alle Unterseiten würden SSL benutzen). Weil die URL ist ja dann verschlüsselt, wenn ich das richtig verstanden habe ..
Bitte warten ..
Mitglied: MartinBinder
12.09.2013 um 10:07 Uhr
Ja, so ist es. Kannst Du ja auch ganz einfach ausprobieren... Den eigentlichen Traffic-Inhalt siehst Du nur, wenn Du in Wireshark das SSL-Zertifikat des Servers (samt Private Key) importierst oder den Traffic im Browser analysierst (Firebug oder Entwicklertools des IE).
Bitte warten ..
Mitglied: Lochkartenstanzer
12.09.2013 um 11:21 Uhr
Zitat von Dieterfragt:
sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!?

Nein er sieht nur, daß der benutzer mit dem Host an der IP-Adresse a.b.c.d spricht per ssl auf Port 443 spricht. Welchen Namen der ggf. virtuelle Host (z.B. www.beispielseite.de) sieht er nur, wenn er vorher die DNS-Abfrage gesehen hat und diese zu der IP-Adresse passt.

lks
Bitte warten ..
Mitglied: Cthluhu
12.09.2013 um 13:51 Uhr
Hi,
Zitat von Dieterfragt:
Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst
verschlüsselt übertragen wird?
In Wireshark/Proxies sind die URL-Parameter nicht sichtbar. Jedoch für alle die am Monitor vorbeigehen. Mich würde so eine Seite beunruhigen, wenn ich beim Surfen mein Passwort oben in der URL stehen hab.

mfg

Cthluhu
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 14:07 Uhr
Danke an alle.

@Cthluhu: Sehe ich genauso. Könnte ja aber auch sein, dass das Passwort verschlüsselt in der URL steht. Das ist ja auch durchaus üblich. Dann könnte ja jmd. einfach die URL abfangen und nochmal schicken (Replay-Attack heißt das dann wohl). Aber so leicht kommt man ja offensichtlich nicht an die URL und des Weiteren würde TLS das ja erkennen, wenn ich Wikipedia richtig gelesen habe
Bitte warten ..
Ähnliche Inhalte
Windows 7
gelöst AutoLogon mit verschlüsseltem Passwort? (15)

Frage von tiny.deluxe zum Thema Windows 7 ...

Verschlüsselung & Zertifikate
Zugriff auf mySQL-DB mit ODBC und SSL (2)

Frage von Titan24 zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
gelöst Wie rettet man Truecrypt verschlüsselte Festplatten? (5)

Frage von ITCrowdSupporter zum Thema Verschlüsselung & Zertifikate ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(9)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

(1)

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1X-Authentifizierung (13)

Frage von Alex29 zum Thema LAN, WAN, Wireless ...