HTTP->HTTPS - SSL-Übertragung noch vor oder erst nach dem Login?
Fips
- https
0 hotti0 dedlfix0 mrjerk0 Der Martin0 Fips
Hallo, bei einigen Webangeboten sieht es so aus, dass die Login-Seite selber noch auf HTTP liegt und erst der angeknüpfte Bereich auf HTTPS.
-> Werden die Login-Daten damit unverschlüsselt übertragen, bevor das Weitere verschlüsselt übertragen wird, oder wird die verschlüsselte Verbindung beim Übergang von HTTP zu HTTPS aufgebaut, bevor die Login-Daten übertragen werden?
Gruß Fips
Hallo, bei einigen Webangeboten sieht es so aus, dass die Login-Seite selber noch auf HTTP liegt und erst der angeknüpfte Bereich auf HTTPS.
Wenn das nur so aussieht...
-> Werden die Login-Daten damit unverschlüsselt übertragen, bevor das Weitere verschlüsselt übertragen wird, oder wird die verschlüsselte Verbindung beim Übergang von HTTP zu HTTPS aufgebaut, bevor die Login-Daten übertragen werden?
.... ist die Antwort auf Deine Frage schwierig. Am Besten, Du machst einen TCP-Dump, da siehst Du was geht. Bei einer unverschlüsselten Übertragung mit HTTP siehst Du das Passwort im Klartext.
Hotti
Hi!
Hallo, bei einigen Webangeboten sieht es so aus, dass die Login-Seite selber noch auf HTTP liegt und erst der angeknüpfte Bereich auf HTTPS.
Das ist zwar technisch nicht unbedingt Problem, aber man sieht auf der Formularseite noch nicht, dass die Daten mit Verschlüsslung gesendet werden. Nur wenn man genau hinsieht, sieht man den Verweis nach https.
-> Werden die Login-Daten damit unverschlüsselt übertragen, bevor das Weitere verschlüsselt übertragen wird, oder wird die verschlüsselte Verbindung beim Übergang von HTTP zu HTTPS aufgebaut, bevor die Login-Daten übertragen werden?
Es gibt bei HTTP kein Vorher, kein Nacher und damit auch keine Übergänge - nur Requests und die dazugehörigen Responses. Wenn ein Request https verwendet, wird dafür eine verschlüsselte Verbindung aufgebaut, nicht nur für die Response.
Lo!
Tach,
Nur wenn man genau hinsieht, sieht man den Verweis nach https.
und in den übliche Browserkonfigurationen ist das schon _sehr_ genau; man muß dazu in der Lage sein, im Quelltext der Seite das passende Formular ausfindig zu machen und dessen action untersuchen.
mfg
Woodfighter
Hi!
Nur wenn man genau hinsieht, sieht man den Verweis nach https.
und in den übliche Browserkonfigurationen ist das schon _sehr_ genau; man muß dazu in der Lage sein, im Quelltext der Seite das passende Formular ausfindig zu machen und dessen action untersuchen.
Stimmt. Formular-Ziele tauchen ja im Gegensatz zu Links nicht/selten in der Statuszeile auf. Also "genau hinsehen" bringt es nicht, man muss auch noch aktiv werden und HTML lesen können.
Lo!
Hallo,
Formular-Ziele tauchen ja im Gegensatz zu Links nicht/selten in der Statuszeile auf.
mir ist bisher nur Opera als derart auskunftsfreudig bekannt, obwohl ich das bei Formularen (bzw. deren Submit-Buttons) eigentlich für ebenso richtig halte wie bei Links und daher bedaure, dass andere Browser das nicht implementiert haben.
Also "genau hinsehen" bringt es nicht, man muss auch noch aktiv werden und HTML lesen können.
In der Regel ja. Sonst sieht man es erst, wenn schon alles passiert ist.
Ciao,
Martin
Hallo,
-> Werden die Login-Daten damit unverschlüsselt übertragen, bevor das Weitere verschlüsselt übertragen wird, oder wird die verschlüsselte Verbindung beim Übergang von HTTP zu HTTPS aufgebaut, bevor die Login-Daten übertragen werden?
Die Login-Daten werden verschlüsselt übertragen.
Vereinfachter Aufbau eines HTTP(S)-Posts:
1.) Client verbindet sich zum Server, öffnet (verschlüsselte) Verbindung
2.) Server antwortet
3.) Client schickt über geöffnete Verbindung die Daten
4.) Server antwortet (mit Webseite, Statuscode o.ä.)
5.) Client schliesst ggf. verbindung und zeigt Ergebnis an
Dabei ist es unerheblich, ob die ursprüngliche Seite (das Login-Formular o.ä.) verschlüsselt ist oder nicht.
Anders sieht es IMO aus, wenn man Daten per HTTP-Get überträgt.
In diesem Fall sind die Parameter ja Teil der URL und werden daher unverschlüsselt übertragen (glaube ich zumindest).
Mit HTTP-get verschickt allerdings i.d.Regel keiner login-Formulare :)
Hallo,
Anders sieht es IMO aus, wenn man Daten per HTTP-Get überträgt.
nein, eigentlich genauso. HTTPS ist ja "HTTP over SSL". Erst wird also die SSL-Verbindung zum Server aufgebaut, und dann über diese verschlüsselte Verbindung HTTP gesprochen. Der HTTP-Request, in dem ja der Local-Part der URL einschließlich eventueller GET-Parameter erst übermittelt wird, läuft dann schon über die SSL-Verbindung.
In diesem Fall sind die Parameter ja Teil der URL und werden daher unverschlüsselt übertragen (glaube ich zumindest).
Nein. Nur der Host, zu dem die Verbindung aufgebaut wird, ist "sichtbar".
Mit HTTP-get verschickt allerdings i.d.Regel keiner login-Formulare :)
Zumindest nicht, wenn's um etwas Wichtiges geht. Wenn der Login-Vorgang nur einem Wiedererkennungseffekt dient, hätte ich da aber auch keine Bedenken.
So long,
Martin
Danke, das beantwortet die Frage sehr gut! ;-)
Die Login-Daten werden verschlüsselt übertragen.
Vereinfachter Aufbau eines HTTP(S)-Posts:1.) Client verbindet sich zum Server, öffnet (verschlüsselte) Verbindung
2.) Server antwortet
3.) Client schickt über geöffnete Verbindung die Daten
4.) Server antwortet (mit Webseite, Statuscode o.ä.)
5.) Client schliesst ggf. verbindung und zeigt Ergebnis an