php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #16 (permalink)  
Alt 15-11-2011, 11:08
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von wahsaga Beitrag anzeigen
Nein.
Benutzername und Passwort lassen sich bei AJAX-Requests als extra Parameter der Methode XMLHttpRequest.open mitgeben.
Habe das nun mal so gemacht, ändert aber nichts daran, dass der Request weiterhin mit userass@domain geschickt wird, auch bei HTTPS

Habe mal zum Testen einen Ajax Request mit jQuery gestartet und username und passwort übergeben wie bei der jQuery Doc beschrieben.

http://idisk.me.com/fabiopigi/Public...115-100251.jpg

Wenn ich die Funktion ausführe und dem WebKit Inspector den Request anschaue sehe ich folgendes:
http://idisk.me.com/fabiopigi/Public...115-095440.jpg

Das ganze läuft auf einem "SSL" Server. Zwar nur ein SSL Proxy von All-Inkl aber es hat ein grünes Schlösschen bei Safari.

SSL wird ja bereits auf dem TCP Layer angewendet, also dürften auch die Requests verschlüsselt sein.

Aber wo liegt nun der Unterschied, User und Passwort direkt in der URL beim Ajax anzugeben, anstatt diese via AJAX Setup anzugeben?
Der Request der entsteht ist ja der selbe (siehe oben).

Also ich werde es schon so machen, aber wo genau liegt der Vorteil via AJAX Setup.

Geändert von fabio (15-11-2011 um 11:20 Uhr)
Mit Zitat antworten
  #17 (permalink)  
Alt 15-11-2011, 11:30
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Diese Anfrage-URL die du da siehst, wird von dem Inspector zusammengebastelt. Im HTTP gibt es URLs in diesem Sinne nicht. Einzelne Teile der URL ergeben einzelne Teile der HTTP-Anfrage. Der Inspector wandelt die geschickte Anfrage zur Darstellung einfach wieder in eine URL um.

SSL verhindert, dass jemand diese Anmeldedaten (die übrigens als base64-kodiert im Header übertragen werden) ausspähen kann, denn die SSL-Schicht ist im OSI-Modell tiefer als HTTP. Das heißt, die gesamte HTTP-Anfrage (incl. Anmeldedaten im Header) wird verschlüsselt übertragen und erst beim Empfänger wieder entschlüsselt. Die Anmeldedaten sind also sicher.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #18 (permalink)  
Alt 15-11-2011, 11:43
fabio
 Registrierter Benutzer
Links : Onlinestatus : fabio ist offline
Registriert seit: Aug 2003
Ort: Wetzikon, ZH, CH
Beiträge: 408
fabio ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Die Anmeldedaten sind also sicher.
Super, dann kann ich beginnen, das ganze zu schreiben.

Wenn jetzt aber die SSL Verbindung wegfällt, wie es noch bei zu vielen Homepages ist, und man sich über HTTP Anmeldet über ein Formular (zB ein normales Anmeldeformular) kann jeder über Wireshark das Passwort mitlesen?
Mit Zitat antworten
  #19 (permalink)  
Alt 15-11-2011, 11:47
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von fabio Beitrag anzeigen
Wenn jetzt aber die SSL Verbindung wegfällt, wie es noch bei zu vielen Homepages ist, und man sich über HTTP Anmeldet über ein Formular (zB ein normales Anmeldeformular) kann jeder über Wireshark das Passwort mitlesen?
Ja, das kann man aber auch bei einem Login-Formular, wo die Daten i. d. R. per POST im Klartext übertragen werden. Es gibt aber auch ohne SSL eine sichere HTTP-Authentifizierung. Wir haben bisher von der Basic Authentication gesprochen, es gibt aber noch die HTTP Digest Authentication, wo das Passwort ebenfalls verschlüsselt wird.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!

Geändert von AmicaNoctis (15-11-2011 um 11:50 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
submit form via enter sypr0 HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 3 24-01-2008 16:20
[HTML] HTML <form> Befehl bereitet einem Anfänger Probleme Veritas00 HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 2 06-05-2007 17:34
htaccess login via php!? hurricane PHP Developer Forum 3 03-04-2005 14:05
Dateiupload via PHP Script und .htaccess Clamsy1111 PHP Developer Forum 0 10-02-2005 19:51
via PHP erzeuhte HTML-Taabelle mit Javascript in HTML Seite einbinden flyingMiATA HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 12 15-07-2004 11:08

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
jQuery Mobile ansehen jQuery Mobile

Touch-Optimized Web Framework für Smartphones & Tablets

09.12.2018 phpler | Kategorie: AJAX/ Framework
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:48 Uhr.