nicht angemeldet
Eigenes Passwort abfangen
Hallo@all,
entweder hat mein Dozent mir falsche Informationen gegeben oder ich mache was falsch.
Mein Dozent meinte das man z.B. wenn man in einer Webseite die nicht HTTPS oder sonstige Verschlüsselt wird sein Passwort eingibt man dieses ganz einfach im klartext mit einem Programm wie ipgrab lesen kann.
Das habe ich versucht, in der Anmeldung von Linux.de gab ich mein Passwd und Usernamen ein, bevor ich auf "Ok" klickte startete ich in einem 2 Terminal 'ipgrab'.
Ich wertete danach die TCP/IP/HTTP Daten aus, aber ich fand kein anzeichen auf mein Passwort bzw. Username obwohl es ohne verschlüsselung übertragen wird.
Es gab zwar neben den TCP/IP Headern auch mehrere HTTP Packte (oder wie man das nennt) indem stand aber nicht sonderlich viel ausser das die Methode wohl POST sei.
Also stimmt das doch nicht was mein Dozent sagte?
p.s: Bei einer GET übertragung konnte man Daten im Klartext lesen (z.B google)
-
hi,
Mein Dozent meinte das man z.B. wenn man in einer Webseite die nicht HTTPS oder sonstige Verschlüsselt wird sein Passwort eingibt man dieses ganz einfach im klartext mit einem Programm wie ipgrab lesen kann.
Klar, warum nicht.
Irgendwie muss es ja transportiert werden, und wenn es nicht verschlüsselt ist, kann's im Klartext gelesen werden.
Das habe ich versucht, in der Anmeldung von Linux.de gab ich mein Passwd und Usernamen ein, bevor ich auf "Ok" klickte startete ich in einem 2 Terminal 'ipgrab'.
Dort wird allerdings HTTP Basic Authentification eingesetzt.
Ich wertete danach die TCP/IP/HTTP Daten aus, aber ich fand kein anzeichen auf mein Passwort bzw. Username obwohl es ohne verschlüsselung übertragen wird.
Die Kombination username:passwort wird Base64-kodiert übergeben, nachzulesen u.a. hier in Kapitel 11.1.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hi,
danke Ihr beiden für eure Antworten.
Werde mich Morgen mal damit befassen!
-
-
Hallo,
Also stimmt das doch nicht was mein Dozent sagte?
Doch. Allerdings werden Passwörter, wenn Du HTTP Basic Auth verwendest, base64-kodiert. base64 ist keine Verschlüsselung, sondern eine standardisierte Methode, Daten zu kodieren (d.h. jeder, der das Verfahren kennt, kann es auch wieder Rückgängig machen und as Verfahren ist ein offizieller Internetstandard). In den HTTP-Request-Headern müsste eine Zeile wie die folgende auftauchen:
Authorization: BLA...
Das 'BLA...' ist dann der String 'username:passwort' in Base64 kodiert. Das kannst Du mit einem geeigneten Programm wieder dekodieren.
Viele Grüße,
Christian--
"I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone." - Bjarne Stroustrup