8 Stimmen

user15453 avatar

Wird mein Formularpasswort im Klartext übermittelt?

Gefragt el 28 de September, 2008
Wann wurde die Frage gestellt
15989 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Das hat mein Browser gesendet, als ich mich bei einer Website angemeldet habe:

POST http://www.some.site/login.php HTTP/1.0
User-Agent: Opera/8.26 (X2000; Linux i686; Z; en)
Host: www.some.site
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, \*/\*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Charset: iso-8859-1, utf-8, utf-16, \*;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, \*;q=0
Referer: http://www.some.site/
Proxy-Connection: close
Content-Length: 123
Content-Type: application/x-www-form-urlencoded

lots\_of\_stuff=here&e2ad811=**my\_login\_name**&e327696=**my\_password**&lots\_of\_stuff=here

Kann ich behaupten, dass jeder meinen Anmeldenamen und mein Passwort für diese Website ausspähen kann? Vielleicht nur in meinem LAN?
Wenn ja (auch nur im LAN), dann bin ich schockiert. Ich dachte, mit

<input type="password">

mehr getan hat, als alle Zeichen wie ' * ' aussehen zu lassen

p.s. Falls es von Bedeutung ist, ich habe mit netcat (unter Linux) gespielt und eine Verbindung hergestellt
Browser <=> Netcat (hier protokolliert) <=> Proxy <=> Remote_Site

Gefragt el 28 de September, 2008 von user15453

Antworten

Zu viele Anzeigen?

17voto

albertein avatar
albertein Punkte 25058

Alle über eine http-Verbindung gesendeten Daten können von jemandem auf dem Weg zum Server eingesehen werden (Man-in-the-Middle-Angriff).

type="password" verbirgt das Zeichen nur auf dem Bildschirm, und auch andere Programme auf Ihrem Computer können die Daten lesen.

Die einzige Möglichkeit, die Daten zu schützen, besteht darin, sie über SSL (HTTPS statt HTTP) zu senden.

Beantwortet el 28 de September, 2008 von albertein (25058 Punkte )

4voto

skaffman avatar
skaffman Punkte 389758

Type="password" blendet nur das Zeichen auf dem Bildschirm aus. Wenn Sie Sniffing verhindern wollen, müssen Sie die Verbindung verschlüsseln (z. B. HTTPS).

Beantwortet el 28 de September, 2008 von skaffman (389758 Punkte )

2voto

Matthew Scharley avatar
Matthew Scharley Punkte 121038

Sie können entweder die HTTP-Verbindung über HTTPS verschlüsseln, oder es gibt MD5- und andere in JavaScript implementierte Hash-Algorithmen, die clientseitig verwendet werden können, um das Kennwort vor dem Senden zu hashen und so zu verhindern, dass ein Sniffer Ihr Kennwort lesen kann.

Beantwortet el 28 de September, 2008 von Matthew Scharley (121038 Punkte )

0voto

Adam Bellaire avatar
Adam Bellaire Punkte 103525

Ja, Ihre Anmeldedaten werden im Klartext übermittelt, und jeder, der Ihren Netzwerkverkehr abhören kann, kann sie ausspähen.

Beantwortet el 28 de September, 2008 von Adam Bellaire (103525 Punkte )

0voto

Danny Whitt avatar
Danny Whitt Punkte 1143

Der Inhalt eines POST-Bodys ist sichtbar, d.h. "im Klartext", wenn er über einen unverschlüsselten Kanal übertragen wird. Wenn Sie den HTTP-Body vor dem Ausspähen schützen wollen, sollten Sie dies über einen sicheren Kanal tun, und zwar über HTTPS .

Beantwortet el 28 de September, 2008 von Danny Whitt (1143 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X