nicht angemeldet
Sicherheit und CGI
Hallo Forumer,
in der Forumsauslese habe ich folgendes gefunden:
"Passworte und geheime Daten sollten nie ueber die CGI-Schnittstelle uebertragen werden. Zumindest wenn method="GET" verwendet wird, d.h. alle Parameter in der URL hinter einem ? stehen, finden sich diese Angaben im Klartext in Logfiles wieder."
Wenn ich nun POST verwende, werden dann CGI-Daten nirgends mitgeloggt (weder Client- noch Serverseitig)?
Viele Gruesse und thx
speedy
-
hi!
"Passworte und geheime Daten sollten nie ueber die CGI-Schnittstelle uebertragen werden. Zumindest
wenn method="GET" verwendet wird, d.h. alle Parameter in der URL hinter einem ? stehen, finden sich
diese Angaben im Klartext in Logfiles wieder."
Wenn ich nun POST verwende, werden dann CGI-Daten nirgends mitgeloggt (weder Client- noch Serverseitig)?Normalerweise nicht. Sie stehen clientseitig auf jeden Fall nicht in der History und serverseitig nicht im
Logfile des Webservers (ich weiß nicht, ob es nicht evtl. eine entsprechende Logfunktion gibt, die dürfte
dann aber wohl meistens nicht aktiviert sein). Die Daten werden natürlich dann trotzdem im Klartext durchs
Internet geschickt und können unterwegs von jedem mitgelesen werden. Hier müsstest du SSL verwenden,
um eine sichere Übertragung zu gewährleisten.bye, Frank!
-
Hi,
»»Die Daten werden natuerlich dann trotzdem im Klartext durchs
Internet geschickt und können unterwegs von jedem mitgelesen werden. Hier müsstest du SSL verwenden,
um eine sichere Übertragung zu gewährleisten.Gut, aber wenn meine Sicherheitsanforderungen durchschnittlich sind (d.h. es kann kein _kapitaler_ Schaden durch einen evtl. Missbrauch entstehen), dann sollte ich auf SSL verichten koennen, oder?
Danke und Gruesse
speedy-
Hi speedy!
Gut, aber wenn meine Sicherheitsanforderungen durchschnittlich sind (d.h. es kann kein
_kapitaler_ Schaden durch einen evtl. Missbrauch entstehen), dann sollte ich auf SSL
verichten koennen, oder?Ja.
Das Mithören ist auch nicht ganz so einfach. Schließlich gibt es keine Gewähr, das alle IP-Pakete den selben Weg durchs Netz nehmen. Ein potentieller Lauscher müsste da schon direkt an Deinem "Server-Eingang" seine Ohren aufspannen, um sicherzugehen, daß er alle Pakete des Requests mitlesen kann.
Viele User nehmen für ALLE ihrer logins die gleiche Pwd/Username - Kombination. Da ist bei einem Missbrauch vielleicht der Schaden bei Dir nicht groß, aber so ein "Generalschlüssel" sollte ja nun nicht bekannt werden. Vielleicht solltest Du Deine User auf die kleine Lücke hinweisen.Gruß Frank
P.S. Ich bin mir nicht sicher, ob bei Nutzung des .htaccess-Mechanismus username/password auch im Klartext gesendet werden. Wenn nicht ist's vielleicht eine Alternative, wenn der Verschlüsselungsgrad sicher auch nicht hoch ist. Vielleicht weis hier ja einer 'ne Antwort.
-
Hi Frank,
Da ist bei einem Missbrauch vielleicht der Schaden bei Dir nicht groß, aber so ein "Generalschlüssel" sollte ja nun nicht bekannt werden. Vielleicht solltest Du Deine User auf die kleine Lücke hinweisen.
Bei dem System kann nur der Admin Passwoerter vergeben und mit dem habe ich i.d.R. direkten Kontakt.
P.S. Ich bin mir nicht sicher, ob bei Nutzung des .htaccess-Mechanismus username/password auch im Klartext gesendet werden. Wenn nicht ist's vielleicht eine Alternative, wenn der Verschlüsselungsgrad sicher auch nicht hoch ist. Vielleicht weis hier ja einer 'ne Antwort.
.htaccess ist ein bisschen unpassend, da mein Skript teilweise oeffentlich arbeitet und teilweise nur privat. Ich koennte es zwar splitten, aber dann haette ich zwei Skripte mit teilweisen Redundanzen, was die Weiterentwicklung des Systems ziemlich erschwert.
Viele Gruesse
speedy
-
-
-
Die Daten werden natürlich dann trotzdem im Klartext durchs
Internet geschickt und können unterwegs von jedem mitgelesen werden.Hi Fank,
mal abgesehen davon, daß das Verhältnis von Menge der Übertragenen Daten zu der Zeit, die die wenigen Menschen, die in der Lage sind so eine Übertragung "mitzuhören", ins "mithören" investieren und sich diese Zeit auch noch an ertragreicheren Übertragungen konzentriert (wie kreditkartennummern), einen Schutz bietet, wie die Atmosphäre gegen einschlagende Flugkkörper aus dem Weltall, wie geht das eigentlich? Wie kann man denn eine Übertragung abfangen?
Tut mir Leid wegen der grammatikalischen Folter.Gruß
Cruz-
Moin,
Wie kann man denn eine Übertragung abfangen?
Das "wie" steht hier ja gar nicht zu Debatte. Dass es prinzipiell moeglich ist, kann man sich eigentlich denken.
Viele Gruesse
speedy-
Das "wie" steht hier ja gar nicht zu Debatte. Dass es prinzipiell moeglich ist, kann man sich eigentlich denken.
»»
Muss ich denn jetzt einen neuen Thread für diese Frage anfangen?
Gruß
Cruz
-
-
-