[Website] https: Passworte schuetzen
Purodha B Blissenbach
publi at web.de
Sun Mar 11 16:30:59 CET 2007
Hallo hostsharer,
Auf unserer Webseite:
http://www.hostsharing.net/faq/technik-faq.html
steht im Abschnitt "Wie unterscheide ich, ob ein Script
per https angesprochen wurde?" die folgende Falschmeldung:
//Zitat Anfang
Wenn jemand das http Protokoll ganz unterbinden will, kann man
auch per .htaccess Datei alle http Requests nach https weiterleiten:
RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule .* https://%{HTTP_HOST}:443%{REQUEST_URI} [QSA,R=permanent,L]
Das ist vor allem interessant für Seiten, die eine
Passwort-Abfrage starten, da damit sichergestellt werden kann,
dass das Passwort nicht im Klartext übers Netz geht, sondern in
einem gecrypteten Datenstrom versteckt ist.
//Zitat Ende
Dem ist (jetzt?) nicht (mehr?) so. Ich habe gestestet, und
bekomme ERST eine Passwortabfrage per http (unsicher) und erst
NACHDEM diese richtig beantwortet wurde, erneut eine Abfrage,
dann per https (sicher, aber nachdem das Passwort vorher gerade
veröffentlicht wurde, bringt das auch nichts mehr)
Das ist unvernuenftig.
Was kann ich dagegen tun? Ich habe nun eine Anwendung vor mir,
bei der solche Sicherheitsluecken nicht akzeptabel sind. Das
http-Protokoll muß entweder komplett auf "Fehler" laufen oder
es muß *vorab* *immer* auf https weiterleiten, ohne daß Fragen
gestellt werden.
(cc website@ : Die Webseite sollte entsprechend upgedatet werden)
Gruesse von Purodha -
More information about the Website
mailing list