Login zu htaccess via HTML-Form

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Zitat von wahsaga Beitrag anzeigen
    Nein.
    Benutzername und Passwort lassen sich bei AJAX-Requests als extra Parameter der Methode XMLHttpRequest.open mitgeben.
    Habe das nun mal so gemacht, ändert aber nichts daran, dass der Request weiterhin mit userass@domain geschickt wird, auch bei HTTPS

    Habe mal zum Testen einen Ajax Request mit jQuery gestartet und username und passwort übergeben wie bei der jQuery Doc beschrieben.

    http://idisk.me.com/fabiopigi/Public...115-100251.jpg

    Wenn ich die Funktion ausführe und dem WebKit Inspector den Request anschaue sehe ich folgendes:
    http://idisk.me.com/fabiopigi/Public...115-095440.jpg

    Das ganze läuft auf einem "SSL" Server. Zwar nur ein SSL Proxy von All-Inkl aber es hat ein grünes Schlösschen bei Safari.

    SSL wird ja bereits auf dem TCP Layer angewendet, also dürften auch die Requests verschlüsselt sein.

    Aber wo liegt nun der Unterschied, User und Passwort direkt in der URL beim Ajax anzugeben, anstatt diese via AJAX Setup anzugeben?
    Der Request der entsteht ist ja der selbe (siehe oben).

    Also ich werde es schon so machen, aber wo genau liegt der Vorteil via AJAX Setup.
    Zuletzt geändert von fabio; 15.11.2011, 09:20.

    Kommentar

    • #17
      Diese Anfrage-URL die du da siehst, wird von dem Inspector zusammengebastelt. Im HTTP gibt es URLs in diesem Sinne nicht. Einzelne Teile der URL ergeben einzelne Teile der HTTP-Anfrage. Der Inspector wandelt die geschickte Anfrage zur Darstellung einfach wieder in eine URL um.

      SSL verhindert, dass jemand diese Anmeldedaten (die übrigens als base64-kodiert im Header übertragen werden) ausspähen kann, denn die SSL-Schicht ist im OSI-Modell tiefer als HTTP. Das heißt, die gesamte HTTP-Anfrage (incl. Anmeldedaten im Header) wird verschlüsselt übertragen und erst beim Empfänger wieder entschlüsselt. Die Anmeldedaten sind also sicher.
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Kommentar

      • #18
        Zitat von AmicaNoctis Beitrag anzeigen
        Die Anmeldedaten sind also sicher.
        Super, dann kann ich beginnen, das ganze zu schreiben.

        Wenn jetzt aber die SSL Verbindung wegfällt, wie es noch bei zu vielen Homepages ist, und man sich über HTTP Anmeldet über ein Formular (zB ein normales Anmeldeformular) kann jeder über Wireshark das Passwort mitlesen?

        Kommentar

        • #19
          Zitat von fabio Beitrag anzeigen
          Wenn jetzt aber die SSL Verbindung wegfällt, wie es noch bei zu vielen Homepages ist, und man sich über HTTP Anmeldet über ein Formular (zB ein normales Anmeldeformular) kann jeder über Wireshark das Passwort mitlesen?
          Ja, das kann man aber auch bei einem Login-Formular, wo die Daten i. d. R. per POST im Klartext übertragen werden. Es gibt aber auch ohne SSL eine sichere HTTP-Authentifizierung. Wir haben bisher von der Basic Authentication gesprochen, es gibt aber noch die HTTP Digest Authentication, wo das Passwort ebenfalls verschlüsselt wird.
          Zuletzt geändert von AmicaNoctis; 15.11.2011, 09:50.
          [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
          Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
          Super, danke!
          [/COLOR]

          Kommentar

          Vorherige 1 2 template Weiter
          Lädt...
          X