Startseite › Foren › Deutsches LiveCode-Forum › Ist put sicher?
- Dieses Thema hat 6 Antworten und 4 Teilnehmer, und wurde zuletzt aktualisiert vor 6 Jahren, 6 Monaten von Anonym.
-
AutorBeiträge
-
-
März 23, 2018 um 08:37 Uhr #4827
Hallo,
ich habe den “put” aus einer anderen Forumsfrage herauskopiert, weil ich mit meiner Frage nicht das Thema verschleppen möchte.
put url "http://username:password@www.example.com/datei.xls" into url("binfile:" & tZielDatei)
Ich habe mittlerweile schon sehr viel gesehen, wie extrem einfach es ist username und password mit zulesen. Selbst wenn ich das “http” mit “https” ersetze und der Server unterstützt dies, ist es doch so, daß die Anfrage erst einmal unverschlüßelt abgeschickt wird und erst beim Ankommen der Server den Schlüßel vergibt.
Das heißt doch auch, daß jeder (der es kann) username und password mitlesen kann. Oder habe ich einen Denkfehler?
Und weiter: wird die Datei dann von Livecode per SSL heruntergeladen, so daß die Inhalte für andere nicht lesbar sind?
Danke für Eure Antworten
-
März 23, 2018 um 10:11 Uhr #4829
Hi Bodo,
leider habe ich keine Ahnung wie und was da hinter den Kulissen abgeht, aber da Du außer GET und PUT (bzw. LOAD und liburldownloadtofile) keine andere Möglichkeit hast, deine Datei herunterzuladen, wird Dir wohl keine andere Möglichkeit bleiben.
Ausser, die Datei liegt verschlüsselt auf dem Server und Du enschlüsselst sie nach dem Download.
Gruß
Klaus
-
März 24, 2018 um 15:46 Uhr #4858
Hallo Bodo,
ich denke auch, dass die Übertragung abgesichert ist, weil sonst ja alle Passwörter etc. vom Mittelmann mitgelesen werden könnten.
Die Prozedur dahinter ist ja wahrscheinlich etwas komplexer, ich denke z.B. dass die Verschlüsselung der Kommunkation zwischen zwei Teilnehmern schon ausgehandelt wird BEVOR Username und Passwort übermittelt werden. Die genauen Details kann man wahrscheinlich im Netz finden oder bei Livecode fragen.
Aber alles andere wäre ja absoluter Nonsense und für so dämlich sollte man eine professionelle Software-Firma nicht halten 😉 (obwohl es ja auch immer wieder fatale Fehler gibt…)VG
Torsten -
März 24, 2018 um 18:36 Uhr #4862
Hallo Torsten,
“Die genauen Details kann man wahrscheinlich im Netz finden oder bei Livecode fragen.”
Im Netz hatte ich schon gesucht und nichts gefunden. Wie kann ich bei Livecode fragen? Meinst Du das englischsprachige Forum nutzen?
Gruß Bodo
-
März 25, 2018 um 01:34 Uhr #4864Anonym
Hallo bodopio,
die Methode ist natürlich anfällig „man in the middle” Attacken. Daher ist es zwingend notwendig ssl (also https) zu benutzen. Da wird im Vorfeld zwischen Client und Server eine Verschlüsselung aufgebaut bevor Informationen ausgetauscht werden.
Ansonsten macht es für einen versierten Hacker kaum Schwierigkeiten an die infirmstionen ranzukommen. Auch der Irrglaube POST Befehle seien sicherer als GET.
Der einzige Unterschied ist das POST Informationen an einer anderen Stelle (request Body Message) übertragen werden im Vergleich zu GET die mit der URL übertragen werden.
Kurz benutze SSL (https) dann bist du sicher.
-
März 25, 2018 um 07:13 Uhr #4868
Hallo appTaurus,
also auch wenn ich den Befehl absetze:
`put url “https://username:password@www.example.com/datei.xls” into url(“binfile:” & tZielDatei)’
und hier aus meiner Sicht schon username und password mitschicke, wird dies noch nicht gesendet, sondern:
1. erst die SSL Verbindung aufgebaut
2. dann username und password versendet
3. dann die Datei heruntergeladen.Danke für Deine Antwort.
-
März 25, 2018 um 08:06 Uhr #4870Anonym
Genau so ist es.
Du kannst dir das so vorstellen dass du die Webseite aufrufst, dann erst die Passwortabfrage kommt.
Mit dem Aufruf der url wird nicht unverschlüsselt das Passwort mitgesendet sondern lediglich erstmal dem Browser mitgegeben.
Wenn die Verbindung verschlüsselt wurde, kommt die Passwortabfrage und der Browser „fügt” sie an entsprechender Stelle ein.
-
-
AutorBeiträge
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.