Sven Rautenberg: HTTP-Auth-Anmeldedaten in der URL...

Moin!

...können böse sein!

http://www.heise.de/newsticker/data/dab-30.07.03-000/

Der Konqueror sendet die per http://username:passwort@url übermittelten Anmeldedaten auch im Referrer an andere Websites.

Naja, da solche URLs laut Standard verboten sind und auch längst nicht von allen Browsern unterstützt werden, hält man von dieser Art der Übermittlung ja ohnehin Abstand - oder nicht?

:)

- Sven Rautenberg

--
SELFTREFFEN 2003 - http://selftreffen.kuemmi.ch/\n\nss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
  1. Hi Sven,

    da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...

    Ciao
    Andreas

    1. Hi!

      da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...

      wozu gibt es SSL?

      Grüße
      Andreas

      1. Hi,

        da hast Du schon Recht - mit SSL werden die Daten wenigstens verschlüsselt übertragen. Trotzdem ist das Kennwort in der URL immer noch lesbar. Neee... Mag ich nicht...

        Ciao
        Andreas

        1. Hi!

          da hast Du schon Recht - mit SSL werden die Daten wenigstens verschlüsselt übertragen. Trotzdem ist das Kennwort in der URL immer noch lesbar. Neee... Mag ich nicht...

          Ah so, ich dachte Du bezogst Dich auf HTTP-Auth an sich. HTTP-Auth Zugangsdaten in der URL sind natürlich Quatsch - zumal vollkommen sinnlos, wozu gibt es in den  meisten Browsern die Möglichkeit diese Daten zu speichern?

          Grüße
          Andreas

          1. Hi,

            der Sven hat schon Recht, es kommt im Endeffekt auf den Browser an. Der Artikel ist schon der Hammer, sowas dürfte nicht passieren.
            Die nicht-SSL-Übertragung von HTTP-Auth sieht zwar cryptisch aus, ist aber nicht sooo sicher.
            HTTPS macht das jedoch immer noch wet, also vergesst es bitte - ich kann mich trotz allem nicht so richtig damit anfreunden besonders auf Windows (Servern) mit HTTP-Auth zu arbeiten, aber jedem das Seine...

            Ciao
            Andreas

    2. Hi Andreas,

      da HTTP-Auth unverschlüsselt übertragen wird

      wie kommst Du auf diese Idee (ohne Erwähnung des verwendeten AuthType)?

      Viele Grüße
            Michael

      --
      T'Pol: I apologize if I acted inappropriately.
      V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
      (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
       => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
      Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
    3. Hallo Andreas,

      da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...

      dann müsste aber der ganze geschützte bereich im https:// übertragen werden?!
      man könnte doch ein logout so bauen dass der user auf eine leere seite und dann per  refresh auf eine andere z.B. haubtseite weiter geleitet wird.
      Gruss vom Alain

      --
      ...wenn das gehirn so einfach wäre,es zu vestehen,
      wären wir zu dumm um es zu begreifen...
  2. Hallo,

    Der Konqueror sendet die per http://username:passwort@url übermittelten Anmeldedaten auch im Referrer an andere Websites.

    oder man könnte den einloglink schon so schreiben http://username:pass@ und auf eine geschützte seite leiten die so ausieht:

    einloglink=http://user:pass@www.seite.de/geschuetzt/erstmalchecken.html
    in der erstmalchecken.html-datei steht dann

    <script type="text/javascript">
    {
    navigation = window.open("http://www.seite.de/geschuetzt/haubt.html", "navigation", "location=no,toolbar=yes,menubar=no,scrollbars=no,resizable=yes");
    };
    </script><noscript><meta http-equiv="REFRESH" content="3; URL=http://www.seite.de/geschuetzt/haubt.html">
    </noscript>

    und dann so eigentlich auf die haubtseite weiterleiten,so hat sich der user angemeldet und muss die daten nicht nochmal eingeben....und der referer wird dann nach dem weitergeleitet wurde auch geändert.

    Gruss vom Alain

    --
    ...wenn das gehirn so einfach wäre,es zu vestehen,
    wären wir zu dumm um es zu begreifen...