Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verschlüsselt SSL auch Passwörter, welche in einer URL übertragen werden?

Frage Entwicklung Webentwicklung

Mitglied: Dieterfragt

Dieterfragt (Level 1) - Jetzt verbinden

12.09.2013 um 09:20 Uhr, 3101 Aufrufe, 6 Kommentare, 5 Danke

Hallo zusammen,

oft sieht man Aufrufe der nachfolgenden Art:

https://www.beispielseite.de/login.php?user=benutzername&pass=passwo ...


Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst verschlüsselt übertragen wird?

Danke und Gruß,
Dieter
Mitglied: fnord2000
12.09.2013 um 09:37 Uhr
Bei HTTPS wird zuerst die Verschlüsselung ausgehandelt, bevor irgendwelche Nutzdaten über den Kanal gehen. Diese URL würde also erst übermittelt, wenn bereits verschlüsselt wird.


Das ist unter anderem auch der Grund, warum virtuelle Hosts und Verschlüsselung ursprünglich so ein Problem darstellten, weil der Server erst durch die Anfrage erfährt welchen Host der Nutzer besuchen will, also im Voraus nicht weiß welches Zertifikat (sofern mehrere nötig sind) präsentiert werden musste.
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 09:54 Uhr
Danke für deine Antwort. Bedeutet das, dass man auf einem Proxy oder per Wireshark nur noch sehen würde, dass der User sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!? (vorausgesetzt alle Unterseiten würden SSL benutzen). Weil die URL ist ja dann verschlüsselt, wenn ich das richtig verstanden habe ..
Bitte warten ..
Mitglied: MartinBinder
12.09.2013 um 10:07 Uhr
Ja, so ist es. Kannst Du ja auch ganz einfach ausprobieren... Den eigentlichen Traffic-Inhalt siehst Du nur, wenn Du in Wireshark das SSL-Zertifikat des Servers (samt Private Key) importierst oder den Traffic im Browser analysierst (Firebug oder Entwicklertools des IE).
Bitte warten ..
Mitglied: Lochkartenstanzer
12.09.2013 um 11:21 Uhr
Zitat von Dieterfragt:
sich auf der Seite https://www.beispielseite.de befindet und nicht mehr auf welcher Unterseite er gerade surft!?

Nein er sieht nur, daß der benutzer mit dem Host an der IP-Adresse a.b.c.d spricht per ssl auf Port 443 spricht. Welchen Namen der ggf. virtuelle Host (z.B. www.beispielseite.de) sieht er nur, wenn er vorher die DNS-Abfrage gesehen hat und diese zu der IP-Adresse passt.

lks
Bitte warten ..
Mitglied: Cthluhu
12.09.2013 um 13:51 Uhr
Hi,
Zitat von Dieterfragt:
Meine Frage: Sind solche URLs in Wireshark bzw. in Proxies sichtbar oder sorgt SSL/TLS auch dafür, dass die URLs selbst
verschlüsselt übertragen wird?
In Wireshark/Proxies sind die URL-Parameter nicht sichtbar. Jedoch für alle die am Monitor vorbeigehen. Mich würde so eine Seite beunruhigen, wenn ich beim Surfen mein Passwort oben in der URL stehen hab.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: Dieterfragt
12.09.2013 um 14:07 Uhr
Danke an alle.

@Cthluhu: Sehe ich genauso. Könnte ja aber auch sein, dass das Passwort verschlüsselt in der URL steht. Das ist ja auch durchaus üblich. Dann könnte ja jmd. einfach die URL abfangen und nochmal schicken (Replay-Attack heißt das dann wohl). Aber so leicht kommt man ja offensichtlich nicht an die URL und des Weiteren würde TLS das ja erkennen, wenn ich Wikipedia richtig gelesen habe
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Firewall
Palo Alto PA-200 URL Filtering

Frage von Yannosch zum Thema Firewall ...

Windows 10
Open SSL VPN - Usability mit Win10 (8)

Frage von cuilster zum Thema Windows 10 ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Microsoft Office
Aus Outlook 2013 Daten aus Tabellenfeldern in Excel übertragen (9)

Frage von ich2110 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...