nicht angemeldet
Authentifizierung
1 
Der Martin
0 0 0 0 0 Der Martin
0 0 0 Der Martin
0 0 Der Martin
0
Authentifizierung
Hallo Forum,
heute habe ich mal zwei Fragen rund ums Thema:
1. habe ich das richtig verstanden, dass bei der Authentifizierung Benutzername und Passwort unverschlüsselt an den Server weitergereicht werden?
2. kann man per Javascript den Authentifizierungscache auslesen, wenn ja mit welchen Befehlen? Google findet bei diesen Stichworten nur Anfragen, wie man den fraglichen Cache löschen kann...
wär wie immer w*ein, wenn wer was weiß :-)
bye trunx
* hartes w = f
--
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.
-
Hallo,
- habe ich das richtig verstanden, dass bei der Authentifizierung Benutzername und Passwort unverschlüsselt an den Server weitergereicht werden?
nein, nicht unbedingt. Über die Direktive AuthType hast du die Wahl.
- kann man per Javascript den Authentifizierungscache auslesen, wenn ja mit welchen Befehlen?
AFAIK nein, und ich würde es als bedenkliche Sicherheitslücke betrachten, wenn das möglich wäre.
Ciao,
Martin--
Dieser Satz wurde in mühsamer Kleinstarbeit aus einzelnen Wörtern zusammengesetzt.
(Hopsel)
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Tach,
- habe ich das richtig verstanden, dass bei der Authentifizierung Benutzername und Passwort unverschlüsselt an den Server weitergereicht werden?
nein, nicht unbedingt. Über die Direktive AuthType hast du die Wahl.
auch mod_auth_digest ist nicht als sicher zu betrachten: https://secure.wikimedia.org/wikipedia/en/wiki/Digest_access_authentication, z.B. gibt es keinen Schutz gegen MitM-Attacks.
mfg
Woodfighter-
Hallo,
vielen Dank an euch. Die Frage, was ist sicher und was nicht, beantworte ich für mich gern mit dem Begriff "relative Sicherheit" so wie ich es auch im Alltag handhabe. Meine Haus- und Wohnungstüren sind verglichen mit den Sicherheitsanlagen des Bundeskanzleramtes quasi ständig sperrangelweitoffen. Das weiß jeder, der je vor seiner "verschlossenen" Tür stand und zugesehen hat, wie der Notdienst diese in wenigen Sekunden öffnete.
Trotzdem und gerade weil ja auch andere dies hier lesen werden, danke auch für die Sicherheitshinweise.
bye trunx
--
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.-
Tach,
vielen Dank an euch. Die Frage, was ist sicher und was nicht, beantworte ich für mich gern mit dem Begriff "relative Sicherheit" so wie ich es auch im Alltag handhabe. Meine Haus- und Wohnungstüren sind verglichen mit den Sicherheitsanlagen des Bundeskanzleramtes quasi ständig sperrangelweitoffen. Das weiß jeder, der je vor seiner "verschlossenen" Tür stand und zugesehen hat, wie der Notdienst diese in wenigen Sekunden öffnete.
der wesentliche Unterschied ist aber, dass die Sicherheit im Datenverkehr sehr viel kostengünstiger zu erreichen ist und ein bisschen Sicherheit gibt es in der Kommunikation nicht: Entweder ich weiß mit wem ich kommuniziere und stelle sicher, dass die Daten nicht mitgelesen werden können oder nicht. Im Falle von Digest, gehen zwar keine Daten im Klartext raus, solange ich ich mit dem richtigen Gegenüber kommuniziere, allerdings weiß ich nie, ob ich mit dem richtigen Gegenüber kommuniziere und dieser kann das Verfahren jederzeit wieder auf Klartext umschalten. Als Nutzer ist der Gewinn also quasi Null.
mfg
Woodfighter-
Hi,
der wesentliche Unterschied ist aber, dass die Sicherheit im Datenverkehr sehr viel kostengünstiger zu erreichen ist und ein bisschen Sicherheit gibt es in der Kommunikation nicht: Entweder ich weiß mit wem ich kommuniziere und stelle sicher, dass die Daten nicht mitgelesen werden können oder nicht. Im Falle von Digest, gehen zwar keine Daten im Klartext raus, solange ich ich mit dem richtigen Gegenüber kommuniziere, allerdings weiß ich nie, ob ich mit dem richtigen Gegenüber kommuniziere und dieser kann das Verfahren jederzeit wieder auf Klartext umschalten. Als Nutzer ist der Gewinn also quasi Null.
eigentlich habe ich das verstanden, aber kann man nicht die Tatsache ausnutzen, dass in der .htaccess Datei auch der AuthName angegeben werden kann, der irgendwie dynamisch erzeugt sicher stellt, dass ich eben doch weiß, mit wem ich es zu tun hab? Irgendwie wundert es mich, dass diese ja offensichtlich lange bekannte Sicherheitslücke nicht geschlossen wird.
bye trunx
--
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.-
Hallo,
Im Falle von Digest, gehen zwar keine Daten im Klartext raus, solange ich ich mit dem richtigen Gegenüber kommuniziere, allerdings weiß ich nie, ob ich mit dem richtigen Gegenüber kommuniziere und dieser kann das Verfahren jederzeit wieder auf Klartext umschalten. Als Nutzer ist der Gewinn also quasi Null.
eigentlich habe ich das verstanden, aber kann man nicht die Tatsache ausnutzen, dass in der .htaccess Datei auch der AuthName angegeben werden kann, der irgendwie dynamisch erzeugt sicher stellt, dass ich eben doch weiß, mit wem ich es zu tun hab?nein, der Knackpunkt ist ein anderer, als du meinst. Angenommen, ich möchte mich bei meiner Bank einloggen. Dann rufe ich http://onlinebank.example/ im Browser auf, in der wohltuenden Gewissheit, dass die Anmeldenamen und Passwörter ja dank Auth-Digest verschlüsselt übertragen werden.
Aber wie kann ich sicher sein, dass der Server am anderen Ende der Verbindung auch wirklich der von meiner Bank ist? Vielleicht hat jemand die Seite täuschend echt nachgebaut und das DNS infiltriert? Oder vielleicht greift unterwegs jemand die Verbindung ab und leitet sie woanders hin um? Vielleicht hat jemand den Proxy gehackt, den ich benutze?Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.
Ob man solche Paranoia wirklich braucht, ist aber eine andere Frage. Bei Onlinebanking oder Online-Zahlungsverkehr, meinetwegen. Sonst fällt mir aber im Moment kaum eine Anwendung ein, bei der ich den Aufwand für gerechtfertigt halte.
Ciao,
Martin--
Ich liebe Politiker auf Wahlplakaten.
Sie sind tragbar, geräuschlos, und leicht wieder zu entfernen.
(Loriot, deutscher Humorist, †2011)
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Dann ist es also eigentlich Latte, ob ich nun basic oder digest verwende, ist eh nur ein "Vorhängeschloss", oder?
bye trunx
--
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.-
Tach,
Dann ist es also eigentlich Latte, ob ich nun basic oder digest verwende, ist eh nur ein "Vorhängeschloss", oder?
ein Angreifer muß damit zumindest selbst aktiv werden, um das Paßwort des Users zu erfahren, anstatt es einfach so mitlesen zu können, aber viel mehr gewinnt man nicht.
mfg
Woodfighter-
Guten Abend,
ein Angreifer muß damit zumindest selbst aktiv werden, um das Paßwort des Users zu erfahren, anstatt es einfach so mitlesen zu können, aber viel mehr gewinnt man nicht.
naja, wer sich schon in eine solche Kommunikation einklinkt, hat auf jeden Fall schon mal ausreichend kriminelle Energie verknüpft mit genügend Kenntnis, dass er vermutlich auch über tools verfügt, die den request des Users abfangen können und statt der richtigen eine gefakte basic Authentifizierungsanforderung zurückschicken, dann liegt das Passwort in Kürze auch im Klartext vor - ohne nachgebaute Seite...
bye trunx
--
Die Standard-Antwort: "Bitte benutze die Forum-Suche!" macht die Forum-Suche kaputt, weil die Suche dann nämlich genau vor allem diese dämliche Standard-Antwort, also Müll liefert. Sinnvoller ist stattdessen folgende Standard-Antwort: "Dieses Thema wurde schon vielfach im Forum besprochen, siehe z.B. <a>hier</a> oder <a>da</a> oder benutze die Forum-Suche z.B. mit den Stichworten 'Stichwort1 Stichwort2'." Danke.
-
-
-
Moin!
nein, der Knackpunkt ist ein anderer, als du meinst. Angenommen, ich möchte mich bei meiner Bank einloggen. Dann rufe ich http://onlinebank.example/ im Browser auf, in der wohltuenden Gewissheit, dass die Anmeldenamen und Passwörter ja dank Auth-Digest verschlüsselt übertragen werden.
Aber wie kann ich sicher sein, dass der Server am anderen Ende der Verbindung auch wirklich der von meiner Bank ist? Vielleicht hat jemand die Seite täuschend echt nachgebaut und das DNS infiltriert? Oder vielleicht greift unterwegs jemand die Verbindung ab und leitet sie woanders hin um? Vielleicht hat jemand den Proxy gehackt, den ich benutze?Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.
Du übersiehst dabei allerdings einen wichtigen Punkt: Der "Bankserver" braucht nur ein Zertifikat vorzuweisen, welches von einer der im Browser installierten Zertifikatsstellen unterschrieben wurde.
Und so eine Unterschrift ist offenbar relativ leicht auch illegal zu erlangen. Entweder präsentiert jemand gefälschte Authentizitätsbelege bei der Beantragung des Zertifikats, oder er hackt sich rein und stellt es sich selbst aus, so wie zuletzt bei Diginotar geschehen.
Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut. Die könnten alle ein gültiges Zertifikat für deine Bank ausstellen. Oder für deinen Mailprovider.
- Sven Rautenberg
-
Hallo Sven,
Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.
Du übersiehst dabei allerdings einen wichtigen Punkt: Der "Bankserver" braucht nur ein Zertifikat vorzuweisen, welches von einer der im Browser installierten Zertifikatsstellen unterschrieben wurde.
Und so eine Unterschrift ist offenbar relativ leicht auch illegal zu erlangen. Entweder präsentiert jemand gefälschte Authentizitätsbelege bei der Beantragung des Zertifikats, oder er hackt sich rein und stellt es sich selbst aus, so wie zuletzt bei Diginotar geschehen.ist das tatsächlich so leicht, wie du es darstellst? Oder braucht's dazu eine gehörige Portion profundes Fachwissen und kriminelle Energie?
Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut.
Hmm. Wie mach ich das? Wie finde ich das heraus? Das hat mich bisher noch nie interessiert. Ah, ich hab's gefunden. Ja, das sind eine Menge Organisationen, und von den meisten habe ich noch nie gehört.
Die könnten alle ein gültiges Zertifikat für deine Bank ausstellen. Oder für deinen Mailprovider.
Mir hat es bisher noch immer genügt, dass ich die gewünschte URL eingebe und die erwartete Antwort bekomme. Die Szenarien, die ich umrissen habe, halte ich zwar für durchaus denkbar, aber hinreichend unwahrscheinlich, dass sie mich bisher in der Praxis nicht weiter interessiert haben. Und solange ich nicht vorhabe, geheimhaltungswürdige Daten ins Netz hinauszuschicken, juckt es mich auch nicht, wenn mein Browser meldet, das Zertifikat sei unbekannt, ungültig oder abgelaufen.
Ciao,
Martin--
TEAM: Toll, Ein Anderer Macht's.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Tach,
ist das tatsächlich so leicht, wie du es darstellst? Oder braucht's dazu eine gehörige Portion profundes Fachwissen und kriminelle Energie?
mit ein wenig Geld kann man sich das heutzutage vermutlich kaufen, "offene Überwachungsstaaten" wie der Iran machen das vermutlich (siehe Diginotar). Alternativ kann man sich natürlich auch selber (mit passenden Fachkenntnissen) bei einer der Zertifizierungsstellen oder einer deren Sub-Zertifizierungsstellen (oder deren Sub-Zertifizierungsstellen, ...) Zugang verschaffen.
Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut.
Hmm. Wie mach ich das? Wie finde ich das heraus? Das hat mich bisher noch nie interessiert. Ah, ich hab's gefunden. Ja, das sind eine Menge Organisationen, und von den meisten habe ich noch nie gehört.
Das ist leider noch nichteinmal die halbe Wahrheit: Is the SSLiverse a safe place? (Vortrag als Video), durch Weitergabe des Rechts Zertifikate zu Erstellen und des Rechts weitere CAs zu authentifizieren, ist die Menge an CAs inzwischen riesig; darunter sind dann "vertrauenswürdige" Firmen und Institutionen wie Walt Disney Company, Nestle, der deutsche Bundestag, das Department for Homeland Security, ... Laut dem Vortrag waren es letztes Jahr etwa 1500 CAs, denen vertraut wurde.
Mir hat es bisher noch immer genügt, dass ich die gewünschte URL eingebe und die erwartete Antwort bekomme. Die Szenarien, die ich umrissen habe, halte ich zwar für durchaus denkbar, aber hinreichend unwahrscheinlich, dass sie mich bisher in der Praxis nicht weiter interessiert haben. Und solange ich nicht vorhabe, geheimhaltungswürdige Daten ins Netz hinauszuschicken, juckt es mich auch nicht, wenn mein Browser meldet, das Zertifikat sei unbekannt, ungültig oder abgelaufen.
Deine Einstellung zu verschlüsselter Kommunikation ist ja bekannt, wenn ich allerdings sehe, dass unbescholtene Bürger aus meinem Bekanntenkreis regelmäßig bei der Einreise in ihr Heimatland festgehalten, durchsucht, ihre Telefone beschlagnahmt werden, möchte ich auf mein Recht sämtliche Kommunikation verschlüsseln zu können nicht mehr verzichten.
mfg
Woodfighter-
Moin,
Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut.
[...] darunter sind dann "vertrauenswürdige" Firmen und Institutionen wie Walt Disney Company, Nestle, der deutsche Bundestag, das Department for Homeland Security, ...Bundestag (oder andere staatliche Einrichtungen) und vertrauenswürdig? Das klingt paradox. Als wollte man Karnickel zum Bewachen des Gemüsegartens abrichten.
wenn ich allerdings sehe, dass unbescholtene Bürger aus meinem Bekanntenkreis ...
Na, du kennst ja seltsame Leute ...
Ciao,
Martin--
PCMCIA: People Can't Memorize Computer Industry Acronyms
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Tach,
Na, du kennst ja seltsame Leute ...
ich nehme das mal als Kompliment.
mfg
Woodfighter
-
-
Tach,
Deine Einstellung zu verschlüsselter Kommunikation ist ja bekannt, wenn ich allerdings sehe, dass unbescholtene Bürger aus meinem Bekanntenkreis regelmäßig bei der Einreise in ihr Heimatland festgehalten, durchsucht, ihre Telefone beschlagnahmt werden, möchte ich auf mein Recht sämtliche Kommunikation verschlüsseln zu können nicht mehr verzichten.
wo es gerade so schön paßt: http://online.wsj.com/article/SB10001424052970203476804576613284007315072.html
mfg
Woodfighter
-
-
-
-
-
-
-