1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Black Hat 2016: Neuer Angriff schafft…

Passwörter per URL-Parameter?

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter per URL-Parameter?

    Autor: RicoBrassers 27.07.16 - 13:29

    > Der restliche Datenverkehr bleibt bei dem Angriff durch HTTPS geschützt, lediglich die URL wird vollständig geleakt. Allein diese Information kann jedoch überaus kritische Informationen wie beispielsweise Passwörter, Benutzernamen und Session-IDs enthalten.

    Ja wie, wo, was?
    Wenn mir das bei einem Dienst auffallen würde, wär das Konto da in Null-Komma-Nix wieder gelöscht. Passwörter haben (erst recht nicht im Klartext) nichts in den GET-URL-Parametern zu suchen! Generell haben allerlei sicherheitskritische Daten, wie im Artikel beschrieben, nichts in den GET-Parametern zu suchen!

    Es ist traurig, dass es immernoch Websites gibt, die so "schlampig" mit solchen sicherheitskritischen Daten umgehen, z.B. bei "Passwort vergessen?" die Nutzerdaten im Klartext per Email zusenden.

  2. Re: Passwörter per URL-Parameter?

    Autor: whamster 27.07.16 - 13:45

    In OAuth ist das sogar so spezifiziert: Das Access Token steht in der URL sobald vom Auth Endpoint zurückgeleitet wird. (Und ja, es führt regelmäßig zu Problemen, aber so wirds halt gemacht.)



    2 mal bearbeitet, zuletzt am 27.07.16 13:47 durch whamster.

  3. Re: Passwörter per URL-Parameter?

    Autor: ello 27.07.16 - 14:15

    Häufig findet man solche Sachen bei APIs (z.B. OAuth), oft auch als Standard so definiert da man HTTPS per Definition erzwungen hat da man davon ausging dass da nichts klar rumgeschubst wird (Was ja u.A. Sinn und Zweck von HTTPS is, vertraute Kommunikation zwischen Partner A und Partner B ohne (ungemerkte) Möglichkeit der Dateneinsicht/Manipulation einer Partei C auf dem Transportweg)



    1 mal bearbeitet, zuletzt am 27.07.16 14:15 durch ello.

  4. Re: Passwörter per URL-Parameter?

    Autor: FreiGeistler 27.07.16 - 14:24

    RicoBrassers schrieb:
    --------------------------------------------------------------------------------
    > z.B. bei "Passwort vergessen?" die Nutzerdaten im Klartext per Email zusenden.
    Ist das in solchen Fällen nicht üblicherweise ein Einmalpasswort?

  5. Re: Passwörter per URL-Parameter?

    Autor: RicoBrassers 27.07.16 - 15:20

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > RicoBrassers schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > z.B. bei "Passwort vergessen?" die Nutzerdaten im Klartext per Email
    > zusenden.
    > Ist das in solchen Fällen nicht üblicherweise ein Einmalpasswort?

    Jein. Es gibt Seiten, die setzen dein Passwort auf ein Einmal-Passwort zurück.
    Es gibt aber auch Seiten, die dir Nutzername+Passwort schön im Klartext per Mail zuschicken.
    Immerhin hast du dein Passwort ja vergessen. Jetzt kannst du dich wieder dran erinnern. ;)

    Spätestens wenn ich so eine Email bekomme, hat die Webseite nur noch einen einzigen Login von mir "gesehen". Und zwar zum Konto löschen/deaktivieren.

  6. Re: Passwörter per URL-Parameter?

    Autor: redmord 27.07.16 - 20:07

    Die RFC sieht die URL als Ort für den Auth-Code optional vor. Ja, dennoch muss man dies nicht so nutzen und weiter gibt es auch für den Betreiber immer das Problem, dass AuthKeys in sämltiche Logs wandern.

  7. Re: Passwörter per URL-Parameter?

    Autor: redmord 27.07.16 - 20:11

    Verstehe ich nicht.

    Wenn eine Ressource einen 3xx zurück gibt, dann ist der Client doch in der Lage den kompletten Request inkl. Header erneut an die neue Ressource zu senden und benötigt keinen Redirect in dem der Token in der URL steht.

  8. Re: Passwörter per URL-Parameter?

    Autor: Truster 28.07.16 - 11:07

    Solche Seiten habe ich schon lange nicht mehr gesehen. In der Regel läuft es doch so ab: Du bekommst einen Link zugesandt, wo du dein Kennwort dann ändern kannst.

    Aber auch ich würde eine solche Seite meiden.

  9. Re: Passwörter per URL-Parameter?

    Autor: whamster 28.07.16 - 11:45

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Die RFC sieht die URL als Ort für den Auth-Code optional vor.

    RFC6749 sagt was anderes. "the authorization
    server issues an authorization code and delivers it to the client by
    adding the following parameters to the query component of the
    redirection URI using the "application/x-www-form-urlencoded" format,
    per Appendix B:

    code
    ..."

  10. Re: Passwörter per URL-Parameter?

    Autor: whamster 28.07.16 - 11:47

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Verstehe ich nicht.
    >
    > Wenn eine Ressource einen 3xx zurück gibt, dann ist der Client doch in der
    > Lage den kompletten Request inkl. Header erneut an die neue Ressource zu
    > senden und benötigt keinen Redirect in dem der Token in der URL steht.

    Mittels Redirect sendet der AS dem Client den Code zu. Siehe RFC6749.

  11. Re: Passwörter per URL-Parameter?

    Autor: My1 28.07.16 - 13:47

    also ich kenne sogar einige mailing listen (bspw Mozilla und scheinbar das meiste was GNU Mailman nutzt) die senden einem nicht nur das PW beim registrieren zu (was ohnehin nicht passieren sollte) sondern da gibts einmal im monat als "reminder" was eindeutig zeugt dassdiese das PW im klartext kennen, jedoch wird darauf hingewiesen.

    "You may enter a privacy password below. This provides only mild security, but should prevent others from messing with your subscription. Do not use a valuable password as it will occasionally be emailed back to you in cleartext.

    If you choose not to enter a password, one will be automatically generated for you, and it will be sent to you once you've confirmed your subscription. You can always request a mail-back of your password when you edit your personal options. Once a month, your password will be emailed to you as a reminder."

    jedoch ist dieses "Feature" aus jeder sicherheitstechnischen sicht idiotisch und sollte durch ein resetsystem getauscht werden was man ggf sogar so machen könnte dass es an eine gastsession gekoppelt ist und der user einen code einfügen muss sodass eine gleichzeitige präsenz des requesters und der email vorliegen muss.

  12. Re: Passwörter per URL-Parameter?

    Autor: redmord 28.07.16 - 20:40

    Ganz so blöd wie behauptet ist das nicht definiert. Hier handelt es sich um ein Fragment und keinen Query-Parameter. Dieser wird nicht zwingend beim erneuten Aufruf an den Server übergeben.

  13. Re: Passwörter per URL-Parameter?

    Autor: redmord 28.07.16 - 20:42

    Richtig lesen: https://tools.ietf.org/html/rfc6749#section-4.2.2

    "by adding the following parameters to the fragment component"

    Beispiel:

    HTTP/1.1 302 Found
    Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
    &state=xyz&token_type=example&expires_in=3600

    Es wird eben nicht Teil der Ressource.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Fabrikbetrieb und -automatisierung IFF, Magdeburg
  2. Hottgenroth Software GmbH & Co. KG, Köln, Magdeburg
  3. Bundesanstalt für Immobilienaufgaben, Berlin
  4. SCHUFA Holding AG, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Rising Storm 2: Vietnam für 7,59€, Upwards, Lonely Robot für 2,99€, MONOPOLY® PLUS...
  2. 3 Monate nur 2,95€ pro Monat, danach 9,95€ pro Monat - jederzeit kündbar
  3. (u. a. Aladin 11,52€ (Blu-ray) & 22,99€ (4K), A Toy Story: Alles hört auf kein Kommando 12...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

CPU-Fertigung: Intel hat ein Netburst-Déjà-vu
CPU-Fertigung
Intel hat ein Netburst-Déjà-vu

Über Jahre hinweg Takt und Kerne ans Limit treiben - das wurde Intel einst schon beim Pentium 4 zum Verhängnis.
Eine Analyse von Marc Sauter

  1. Maxlinear Intel verkauft Konzernbereich
  2. Comet Lake H Intel geht den 5-GHz-Weg
  3. Security Das Intel-ME-Chaos kommt

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen