none
Je šifrováno heslo v URL protokolem HTTPS

    Dotaz

  • Zdravím,
    pokud zavolám IIS s jménem a heslom v URL (např.: https://username:password@adresawebu.cz/cesta/) je heslo zašifrováno na přenosové cestě protokolem https nebo není.

    Děkuji za pomoc.


    Ludan

    3. února 2014 8:43

Odpovědi

  • Obavam se, ze michas dve urovne. Protokolem SSL je sifrovana komplet komunikace mezi klientem  serverem.

    Jmeno a heslo resp. autentikace je ale nezavisle na tom, zda pouzivas HTTP ci HTTPS. Tzn. typicky overeni probehne Windows autentikaci (tedy sifrovane) a to jeste zabelene v SSL (tedy sifrovane na kvadrat).

    Pro zabezpeceni hesla ma tedy SSL nejvetsi vyznam pri plaintext basic autentikaci.

    MP


    P.S. prispevek jsi zadal jako dotaz, ale neni v nem zadnych otazniku. Prosim oprav - tedy pokud se chces na neco zeptat a ne jen konstatovat.
    3. února 2014 9:00
    Moderátor
  • Všechna data které si server s klientem předávají na https jsou z principu šifrována.

    Autentifikace stránky je navíc přenášena ještě dalším šifrováním.

    .

    Když chceš jistotu, proč se ptáš místo aby jsi se prostě nepodíval na tu komunikaci?

    Stačí použít jakýkoliv odchytávač TCP/IP komunikace.

    .

    Je zajímavé, že budeš věřit raději nám, než si sám provést test.


    JCH

    3. února 2014 15:57

Všechny reakce

  • Obavam se, ze michas dve urovne. Protokolem SSL je sifrovana komplet komunikace mezi klientem  serverem.

    Jmeno a heslo resp. autentikace je ale nezavisle na tom, zda pouzivas HTTP ci HTTPS. Tzn. typicky overeni probehne Windows autentikaci (tedy sifrovane) a to jeste zabelene v SSL (tedy sifrovane na kvadrat).

    Pro zabezpeceni hesla ma tedy SSL nejvetsi vyznam pri plaintext basic autentikaci.

    MP


    P.S. prispevek jsi zadal jako dotaz, ale neni v nem zadnych otazniku. Prosim oprav - tedy pokud se chces na neco zeptat a ne jen konstatovat.
    3. února 2014 9:00
    Moderátor
  • Díky za odpověď. Omlouvám se za chybějící otazní za " je heslo zašifrováno na přenosové cestě protokolem https nebo není"

    Zeptám se tedy ještě pro jistotu přímo :  Pokud volám aplikaci pomocí hesla v URL https://username:password@adresawebu.cz/cesta/ může být někde po cestě mimo klienta a serveru odposlechnuto nezašifrované heslo ?  Samozřejmě vylučuji jakékoliv sofistikované útoky jako MITM a pod.

    Z Vaší předchozí odpovědi si vyvozuji že to možné není. ALe pro jistotu prosím o potvrzení.


    Ludan

    3. února 2014 14:12
  • Pokud se prenasi heslo, je sifrovano.

    MP

    3. února 2014 15:39
    Moderátor
  • Všechna data které si server s klientem předávají na https jsou z principu šifrována.

    Autentifikace stránky je navíc přenášena ještě dalším šifrováním.

    .

    Když chceš jistotu, proč se ptáš místo aby jsi se prostě nepodíval na tu komunikaci?

    Stačí použít jakýkoliv odchytávač TCP/IP komunikace.

    .

    Je zajímavé, že budeš věřit raději nám, než si sám provést test.


    JCH

    3. února 2014 15:57