Ist put sicher?

Startseite Foren Deutsches LiveCode-Forum Ist put sicher?

Ansicht von 6 Antwort-Themen
  • Autor
    Beiträge
    • #4827
      bodopio
      Teilnehmer

      Hallo,

      ich habe den "put" aus einer anderen Forumsfrage herauskopiert, weil ich mit meiner Frage nicht das Thema verschleppen möchte.

      put url "http://username:password@www.example.com/datei.xls" into url("binfile:" & tZielDatei)

      Ich habe mittlerweile schon sehr viel gesehen, wie extrem einfach es ist username und password mit zulesen. Selbst wenn ich das "http" mit "https" ersetze und der Server unterstützt dies, ist es doch so, daß die Anfrage erst einmal unverschlüßelt abgeschickt wird und erst beim Ankommen der Server den Schlüßel vergibt.

      Das heißt doch auch, daß jeder (der es kann) username und password mitlesen kann. Oder habe ich einen Denkfehler?

      Und weiter: wird die Datei dann von Livecode per SSL heruntergeladen, so daß die Inhalte für andere nicht lesbar sind?

      Danke für Eure Antworten

    • #4829
      Klaus Major
      Verwalter

      Hi Bodo,

      leider habe ich keine Ahnung wie und was da hinter den Kulissen abgeht, aber da Du außer GET und PUT (bzw. LOAD und liburldownloadtofile) keine andere Möglichkeit hast, deine Datei herunterzuladen, wird Dir wohl keine andere Möglichkeit bleiben.

      Ausser, die Datei liegt verschlüsselt auf dem Server und Du enschlüsselst sie nach dem Download.

      Gruß

      Klaus

    • #4858
      Torsten
      Teilnehmer

      Hallo Bodo,

      ich denke auch, dass die Übertragung abgesichert ist, weil sonst ja alle Passwörter etc. vom Mittelmann mitgelesen werden könnten.
      Die Prozedur dahinter ist ja wahrscheinlich etwas komplexer, ich denke z.B. dass die Verschlüsselung der Kommunkation zwischen zwei Teilnehmern schon ausgehandelt wird BEVOR Username und Passwort übermittelt werden. Die genauen Details kann man wahrscheinlich im Netz finden oder bei Livecode fragen.
      Aber alles andere wäre ja absoluter Nonsense und für so dämlich sollte man eine professionelle Software-Firma nicht halten 😉 (obwohl es ja auch immer wieder fatale Fehler gibt...)

      VG
      Torsten

    • #4862
      bodopio
      Teilnehmer

      Hallo Torsten,

      "Die genauen Details kann man wahrscheinlich im Netz finden oder bei Livecode fragen."

      Im Netz hatte ich schon gesucht und nichts gefunden. Wie kann ich bei Livecode fragen? Meinst Du das englischsprachige Forum nutzen?

      Gruß Bodo

    • #4864
      appTaurus
      Teilnehmer

      Hallo bodopio,

      die Methode ist natürlich anfällig „man in the middle" Attacken. Daher ist es zwingend notwendig ssl (also https) zu benutzen. Da wird im Vorfeld zwischen Client und Server eine Verschlüsselung aufgebaut bevor Informationen ausgetauscht werden.

      Ansonsten macht es für einen versierten Hacker kaum Schwierigkeiten an die infirmstionen ranzukommen. Auch der Irrglaube POST Befehle seien sicherer als GET.

      Der einzige Unterschied ist das POST Informationen an einer anderen Stelle (request Body Message) übertragen werden im Vergleich zu GET die mit der URL übertragen werden.

      Kurz benutze SSL (https) dann bist du sicher.

    • #4868
      bodopio
      Teilnehmer

      Hallo appTaurus,

      also auch wenn ich den Befehl absetze:

      `put url "https://username:password@www.example.com/datei.xls" into url("binfile:" & tZielDatei)'

      und hier aus meiner Sicht schon username und password mitschicke, wird dies noch nicht gesendet, sondern:
      1. erst die SSL Verbindung aufgebaut
      2. dann username und password versendet
      3. dann die Datei heruntergeladen.

      Danke für Deine Antwort.

    • #4870
      appTaurus
      Teilnehmer

      Genau so ist es.

      Du kannst dir das so vorstellen dass du die Webseite aufrufst, dann erst die Passwortabfrage kommt.

      Mit dem Aufruf der url wird nicht unverschlüsselt das Passwort mitgesendet sondern lediglich erstmal dem Browser mitgegeben.

      Wenn die Verbindung verschlüsselt wurde, kommt die Passwortabfrage und der Browser „fügt" sie an entsprechender Stelle ein.

Ansicht von 6 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.