Reiner: ACHTUNG, Sicherheitsproblem!

Hi,

ich möchte nur warnen, hier Paßworte in URLs zu verwenden.
Auf unserer Domain kamen Referer vor, die in etwa so aussahen:

http://mymojito:XXXXXXXW@forum.de.selfhtml.org/my/

"mymojito" weiß sicher besser, was er/sie da gemacht hat.

Nur als Hinweis! Wir sind sicher nicht die einzigen, die das, was eigentlich hinter dem "XXXXXXX" steht, nun in Ihren Logfiles sehen können.

Gruß
Reiner

  1. Hallo Reiner,

    ich möchte nur warnen, hier Paßworte in URLs zu verwenden.
    Auf unserer Domain kamen Referer vor, die in etwa so aussahen:

    http://mymojito:XXXXXXXW@forum.de.selfhtml.org/my/

    "mymojito" weiß sicher besser, was er/sie da gemacht hat.

    Nur als Hinweis! Wir sind sicher nicht die einzigen, die das, was eigentlich hinter dem "XXXXXXX" steht, nun in Ihren Logfiles sehen können.

    Nur so als Ergänzung: wir hatten einen kompletten Thread zum Thema Passwort-URLs und Browserverhalten: </archiv/2002/11/29154/> Der ist _sicherlich_ lesenswert.

    Viele Grüße,
    Christian

    1. Hi,

      [...]

      Nur so als Ergänzung: wir hatten einen kompletten Thread zum Thema Passwort-URLs und Browserverhalten: </archiv/2002/11/29154/> Der ist _sicherlich_ lesenswert.

      Wenn das Kritik an meiner Aussage/Warnung sein soll, verstehe ich das nicht.
      Derjenige, der solche Fehler macht, liest das Archiv wohl nicht, wozu es in dem Fall auch kein Anlaß gibt. Man sucht ja nicht nach einer Problematik, wenn man sie gar nicht hat bzw. erkennt.

      Gruß
      Reiner

      1. Hallo Reiner,

        Wenn das Kritik an meiner Aussage/Warnung sein soll, verstehe ich das nicht.

        Sollte es nicht. Ich schrieb:

        Nur so als Ergänzung:

        Damit dürfte klar sein, dass ich Dir inhaltlich voll und ganz zustimmen kann und nur etwas weiteres beitragen wollte.

        Derjenige, der solche Fehler macht, liest das Archiv wohl nicht, wozu es in dem Fall auch kein Anlaß gibt. Man sucht ja nicht nach einer Problematik, wenn man sie gar nicht hat bzw. erkennt.

        Ich wollte nur nachträglich auf eine bestehende Informationssammlung zu dem Thema hinweisen, in der vielleicht einige Fragen der betreffenden Person geklärt werden, damit sie nicht noch einmal in diesem Thread gestellt werden müssen.

        Viele Grüße,
        Christian

        1. Hi,

          Ich wollte nur nachträglich auf eine bestehende Informationssammlung zu dem Thema hinweisen, in der vielleicht einige Fragen der betreffenden Person geklärt werden, damit sie nicht noch einmal in diesem Thread gestellt werden müssen.

          dann ist es gut! :-)

          Gruß
          Reiner

  2. Hallo Reiner,

    ich glaube ich muss mich hir öffentlich für mein Vergehen entschuldigen! Mir war das Sicherheitsproblem das beim versenden der URL im Klartext entstehet nicht bewusst!
    Ich hoffe Euch keine Probleme mit meinem Verhalten beschert zu haben...

    Doch kommt in mir immer wieder eine Frage hoch: Bin ich wirklich der Einzigste, der solch eine URL in seiner Favoriten legt? Hier tummeln sich doch ziemlich viele Newbies mit gefährlichen Halbwissen rum... und ich alleine verstosse gegen alle Regeln der Sicherheit???

    Eigentlich wollte ich mit meinem Wissen weiter sein als manch Anderer der hier im Forum postet.... der heutige Tag ist ein Rückschlag :(

    Heute Nacht peitsche ich mit nassen Spagetti die Sünden aus meinem Leibe!

    Letzter Eintrag im Logbuch:
    http://mymojito:XXXXXXXW@forum.de.selfhtml.org/my/

    greets
    myMojito
    mailto:mail@weberhelmut.de

    --
    -------------------------------------------
    Mode ist eine Variable, Stil eine Konstante
    1. Hallo myMojito,

      Du gefährdest höchstens Dich selbst damit. Da die geschützten Daten aber ja nicht wirklich sensibel sind, ist es in dem Fall auch nicht so dramatisch.

      Grüße

      Daniel

      1. Moin,

        Du gefährdest höchstens Dich selbst damit. Da die geschützten Daten aber ja nicht wirklich sensibel sind, ist es in dem Fall auch nicht so dramatisch.

        Noch nicht. Aber wenn irgendwann mal der versprochene Schutz von Namen kommt, bin ich doch dafür, endlich mal auf Digest Authentication umzusteigen oder das zumindest zusätzlich zuzulassen. RFC 2617 sieht ausdrücklich vor, mehrere Authentifzierungsformen in einer 401-Antwort zu anzubieten.

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
        1. Hallo Henryk,

          Du gefährdest höchstens Dich selbst damit. Da die
          geschützten Daten aber ja nicht wirklich sensibel sind,
          ist es in dem Fall auch nicht so dramatisch.

          Noch nicht. Aber wenn irgendwann mal der versprochene Schutz
          von Namen kommt, bin ich doch dafür, endlich mal auf Digest
          Authentication umzusteigen oder das zumindest zusätzlich
          zuzulassen. RFC 2617 sieht ausdrücklich vor, mehrere
          Authentifzierungsformen in einer 401-Antwort zu anzubieten.

          Mal sehen. Ich finde auf jedenfall, dass digest kein Quaentchen
          mehr Sicherheit bietet. Da braucht man das Klartext-Passwort
          ja nicht mal mehr. Ueberigens kannst du in V.2 prinzipiell dein
          eigenes Authentifizierungs-Modul schreiben.

          Gruesse,
           CK

          1. Moin,

            Ich finde auf jedenfall, dass digest kein Quaentchen mehr
            Sicherheit bietet.

            "Passwort im Klartext durch die Leitung jagen" kommt mir gegen "Das Passwort geht gar nicht mehr durch die Leitung, dafür gibt es jetzt einen Schutzt gegen Replay-Attacken und sogar eine Methode die Integrität des übertragenen Bodys sicherzustellen[1]" schon unsicherer vor. Basic kann nicht mal vor passiven Mitlesern schützen, Digest hingegen schützt gegen passive Mitleser, aktive Angreifer (die selber Pakete senden) und kann sogar gegen Männer-in-der-Mitte (die Pakete abfangen und ersetzen können) schützen.

            Wenn natürlich jeder sein Passwort anschließend ohnehin im Referer durch die Gegend bläst... ;-)

            Da braucht man das Klartext-Passwort ja nicht mal mehr.

            Genau, du müsstest 'nur' noch einen 128bittigen (je nach Wahl des Digest-Algorithmus) Wert erraten. Derjenige unter euch dessen Passwort nicht weniger als 128 Bit Entropie hat, der werfe den ersten Stein.

            Vor allem hier wo die übertragenen Nutzdaten ja im Wesentlichen nicht vor fremden Blicken geschützt werden müssen, da sie ja auch jeder ohne Authentifizierung abrufen kann, hat Digest seine Stärken.

            Ueberigens kannst du in V.2 prinzipiell dein eigenes
            Authentifizierungs-Modul schreiben.

            Mal sehen...

            [1] Jaja, wenn die Browser mitspielen würden.

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
    2. Hi!

      (Ich hoffe, Du hast sofort Dein Passwort geaendert und verwendest dasselbe Passwort auch fuer keine anderen Accounts mehr.)

      Doch kommt in mir immer wieder eine Frage hoch: Bin ich wirklich der Einzigste, der solch eine URL in seiner Favoriten legt?

      Vermutlich nicht. Deswegen halte ich diesen Thread fuer wichtig.

      Wie vorteilhaft ist doch ein Browser, der Zugangsdaten separat speichern kann. So braucht man nur die normale URL ohne Zugangsdaten in die Bookmarks zu legen, und das Anmeldefenster wird beim Aufrufen der Seite gleich automatisch vom Browser ausgefuellt. Moment... Du benutzt IE?! ;-)

      So long

      --
      If Barbie is so popular, why do you have to buy her friends?
      1. Hi Calocybe,

        Doch kommt in mir immer wieder eine Frage hoch: Bin ich wirklich der Einzigste, der solch eine URL in seiner Favoriten legt?

        Vermutlich nicht.

        Korrekt.

        </archiv/2002/11/29564/#m160019>

        Im letzten halben Jahr kamen natürlich noch einige hinzu.

        Grüße,
         Roland

        --
        http://www.fu2k.org/alex/css/layouts/3Col_OrderedAbsolute.mhtml
        http://aktuell.de.selfhtml.org/tippstricks/beitrag.htm
        ss:| zu:} ls:} fo:} de:> va:} ch:| sh:) n4:& rl:| br:< js:{ ie:{ fl:{ mo:|