Re: F: SSL, Seitenübertragung, Quellcode, IE & Netscape

From: Bodo Eggert <7eggert@xxxxxxxxxxxxxxxxxx>
Date: Fri, 29 Jul 2005 04:09:04 +0200

Guido Dörner <mcspider@xxxxxxx> wrote:

> Ich habe ein Webpaket von 1&1 zu verwalten. Dabei sollte eine Subdomain auf
> SSL umgestellt werden, weil dort das Admin-Tool für eine Datenbank versteckt
> ist.

Security by Obscurity?

> Mir persönlich ist jetzt aufgefallen, daß IE 6 den Quelltext der Webseiten
> aus der SSL-Subdomain nicht mehr anzeigt, Netscape 7.1 dagegen aber wohl.

Dafür hat der IE eine Schnittstelle, um den Datenverkehr zu belauschen.

> Ich habe phpMyAdmin 2.3.3.pl1 in diesem Verzeichnis installiert und die
> Browsermeldung, beim Aufruf der Seite lautet:
>
> ----------------------------------------------------------------------------
> -----------------------------------
> Diese Seite enthält sowohl sichere als auch unsicher Objekte...Möchten sie
> die unsichern Objekte anzeigen?
> ----------------------------------------------------------------------------
> -----------------------------------
>
> Jetzt scheint völlig egal zu sein, ob ich auf "Ja" oder "Nein" klicke. Die
> Seite wird scheinbar identisch angezigt und funktioniert problemlos...???

Web-Bugs? Per http:// einegbundene Bilder?

> Bisher habe ich jedenfalls nichts festgestellt...
>
> Was bei der Umstellung noch aufgefallen ist:
> Die Seite war plötzlich

Im Sinne von "schon immer".

> über http://... und https://... erreichbar
[...]

> Frage 1:
> Recht es wirklich aus, nur das Protokoll auf SSL umzustellen oder muss ich
> bei der dort installierten Software noch etwas beachten bzw. ändern, damit
> die Sache sicher ist?

SSL schützt den Übertragungsweg, nicht mehr.

> Frage 2:
> Da das Admintool natürlich nciht für jeden zugänglich sein soll, habe ich
> noch einen Passwortschutz in die .htaccess eingebaut...
> Wenn die Seite nun über HTTP://... statt HTTPS://... aufgerufen wird,
> bekomme ich sowohl bei IE, wie auch bei NS eine doppelte Passwort-Abfrage.

Eine Abfrage reicht, aber das Passwort muß vernünftig sein.
--
Ich danke GMX dafür, die Verwendung meiner Adressen mittels per SPF
verbreiteten Lügen zu sabotieren.
.

References:
- F: SSL, Seitenübertragung, Quellcode, IE & Netscape
  - From: Guido Dörner

Prev by Date: Re: Cisco und die Sicherheit...
Next by Date: Re: Windows Tool zum Ändern der IP Adresse mit Benutzerrechten
Previous by thread: F: SSL, Seitenübertragung, Quellcode, IE & Netscape
Next by thread: "Sicherhheitssoftware" PCMapper
Index(es):
- Date
- Thread

Relevant Pages

F: SSL, Seitenübertragung, Quellcode, IE & Netscape
... was das Thema SSL in eigenen Webseiten angeht... ... weil dort das Admin-Tool für eine Datenbank versteckt ... beim Aufruf der Seite lautet: ... Was bei der Umstellung noch aufgefallen ist: ...
(de.comp.security.misc)
Re: SSL-Proxy sicher nutzen?
... Du redest immer von SSL Proxy, ... Wenn JavaScript deaktiviert wird, ... dass die Session-ID via Cookie an eine Fremdseite geht. ... Die zweite ID wird von Seite zu Seite via Links und Formularen ...
(de.comp.security.misc)
nur sichere Seite
... Die Seite, auf die Sie zugreifen möchten, ist durch SSL (Secure Sockets ... SSL is required to view this resource. ... Prev by Date: ... Next by Date: ...
(microsoft.public.de.german.isaserver)
Re: IIS 6 SSL problem
... ich versuche auf einem Windows 2003 Server mit einem Exchange ... Dazu benötige ich vernüftigerweise SSL. ... Das Zertifikat wird vom IIS akzeptiert ... dass die Seite nicht angezeigt werden kann. ...
(microsoft.public.de.inetserver.iis)
Re: Https Zugriff (SPS 2003)
... die Seite ohne HTTPS aufzurufen. ... Ich würde Dir in diesem Fall empfehlen, SSl zur Pflicht zu machen, ... Parallel erstellst Du einen zweiten virtuellen Server (der allerdings ... unter denen das Portal erreichbar ist. ...
(microsoft.public.de.german.sharepointportalserver)