nicht angemeldet
Sicherheitslücke via https?
Hallo zusammen,
eine kurzes Beispiel als Erläuterung des Problems:
Auf einer http-Seite wird ein neues Fenster mittels Javascript geöffnet (Bitte nicht streiten, ob das Sinn macht oder nicht!), indem eine https Seite geöffnet wird, zum einloggen in einen Kundenbereich. Innerhalb der https-Seiten befinden sich hi und da noch kleiner Javascripte zur Steuerung von Formularelementen etc.
Die Seiten werden dynamisch generiert (WebLogic).
Jetzt die Frage: Wurde da durch die Benutzung von Javascript eine Sicherheitslücke eröffnet? Kann dem User ein Javascript untergejubelt werden auf dem Weg vom Appl-Server zum Browser?
Vielen Dank für eure Antworten! Bin auch dankbar für sinnige Links zu diesem Thema!
Ciao,
Fraenk
-
Hi,
Jetzt die Frage: Wurde da durch die Benutzung von Javascript eine Sicherheitslücke eröffnet? Kann dem User ein Javascript untergejubelt werden auf dem Weg vom Appl-Server zum Browser?
Dass jemanden während der Übertragung einer verschlüsselten Seite ein JavaScript untergejubbelt wird, halte ich für äußerst unwahrscheinlich. Denn gerade dafür ist die Verschlüsselung ja da: Damit niemand den Inhalt sehen und verändern kann. Der Angreifer müsste also quasi in Echtzeit die Verschlüsselung knacken und das JS einspielen. Da gibt es elegantere Lösungen ;)
Ein mögliche "Lösung" könnte sein: Was imho möglich wäre ist, dass jemand die Seiten fälscht und spiegelt. Also dass in Wirklichkeit die Seiten nicht von deinem Server kommen, sondern von einem anderen Server. Dieser könnte dann natürlich die Daten, die, von mir aus auch verschlüsselt über https zum Fremdserver übertragen werden, auch mitloggen und diese dann an den echten Server weiterleiten. So merkt der User im "Idealfall" nichts. Der User muß halt aufpassen, daß er sich nur über vom Originalserver gelieferte Seiten einloggt.
Viele Grüße...
Alex :)
-
Hi Alex!
Danke für Deine Einschätzung!
Fraenk
-
Hallo,
Ein mögliche "Lösung" könnte sein: Was imho möglich wäre ist, dass jemand die Seiten fälscht und spiegelt. Also dass in Wirklichkeit die Seiten nicht von deinem Server kommen, sondern von einem anderen Server.
Genau davor schützt auch SSL. Der Sinn bei der Sache ist nicht nur, dass die Seiten die an den Client verschlüsselt werden, sondern auch unterschrieben. Und um unterschreiben zu können braucht man den passenden privaten Schlüssel der normalerweise sicher auf dem Orginalwebserver abgelegt ist.
Im Allgemeinem bekommt man eine Warnung, wenn das nicht so ist. Außerdem hat man ja die Möglichkeit sich das Zertifikat anzusehen, um das mit Augenschein zu überprüfen.Gruss
MichaelB
-