HTTP-Auth-Anmeldedaten in der URL...
Sven Rautenberg
- zur info
0 Andreas0 Andreas Korthaus0 Andreas
0 Michael Schröpl0 Alain
0 Alain
Moin!
...können böse sein!
http://www.heise.de/newsticker/data/dab-30.07.03-000/
Der Konqueror sendet die per http://username:passwort@url übermittelten Anmeldedaten auch im Referrer an andere Websites.
Naja, da solche URLs laut Standard verboten sind und auch längst nicht von allen Browsern unterstützt werden, hält man von dieser Art der Übermittlung ja ohnehin Abstand - oder nicht?
:)
- Sven Rautenberg
Hi Sven,
da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...
Ciao
Andreas
Hi!
da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...
wozu gibt es SSL?
Grüße
Andreas
Hi,
da hast Du schon Recht - mit SSL werden die Daten wenigstens verschlüsselt übertragen. Trotzdem ist das Kennwort in der URL immer noch lesbar. Neee... Mag ich nicht...
Ciao
Andreas
Hi!
da hast Du schon Recht - mit SSL werden die Daten wenigstens verschlüsselt übertragen. Trotzdem ist das Kennwort in der URL immer noch lesbar. Neee... Mag ich nicht...
Ah so, ich dachte Du bezogst Dich auf HTTP-Auth an sich. HTTP-Auth Zugangsdaten in der URL sind natürlich Quatsch - zumal vollkommen sinnlos, wozu gibt es in den meisten Browsern die Möglichkeit diese Daten zu speichern?
Grüße
Andreas
Hi,
der Sven hat schon Recht, es kommt im Endeffekt auf den Browser an. Der Artikel ist schon der Hammer, sowas dürfte nicht passieren.
Die nicht-SSL-Übertragung von HTTP-Auth sieht zwar cryptisch aus, ist aber nicht sooo sicher.
HTTPS macht das jedoch immer noch wet, also vergesst es bitte - ich kann mich trotz allem nicht so richtig damit anfreunden besonders auf Windows (Servern) mit HTTP-Auth zu arbeiten, aber jedem das Seine...
Ciao
Andreas
Hi Andreas,
da HTTP-Auth unverschlüsselt übertragen wird
wie kommst Du auf diese Idee (ohne Erwähnung des verwendeten AuthType)?
Viele Grüße
Michael
Hallo Andreas,
da HTTP-Auth unverschlüsselt übertragen wird, kann man das sowieso nicht empfehlen...
dann müsste aber der ganze geschützte bereich im https:// übertragen werden?!
man könnte doch ein logout so bauen dass der user auf eine leere seite und dann per refresh auf eine andere z.B. haubtseite weiter geleitet wird.
Gruss vom Alain
Hallo,
Der Konqueror sendet die per http://username:passwort@url übermittelten Anmeldedaten auch im Referrer an andere Websites.
oder man könnte den einloglink schon so schreiben http://username:pass@ und auf eine geschützte seite leiten die so ausieht:
einloglink=http://user:pass@www.seite.de/geschuetzt/erstmalchecken.html
in der erstmalchecken.html-datei steht dann
<script type="text/javascript">
{
navigation = window.open("http://www.seite.de/geschuetzt/haubt.html", "navigation", "location=no,toolbar=yes,menubar=no,scrollbars=no,resizable=yes");
};
</script><noscript><meta http-equiv="REFRESH" content="3; URL=http://www.seite.de/geschuetzt/haubt.html">
</noscript>
und dann so eigentlich auf die haubtseite weiterleiten,so hat sich der user angemeldet und muss die daten nicht nochmal eingeben....und der referer wird dann nach dem weitergeleitet wurde auch geändert.
Gruss vom Alain