Registrierung Kalender Mitgliederliste Teammitglieder Suche Häufig gestellte Fragen Zur Startseite

Informatiker Board » Themengebiete » Informatik in der Schule » Diverse Fragen zu http und https » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Diverse Fragen zu http und https
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Alex93242
Grünschnabel


Dabei seit: 30.04.2019
Beiträge: 1

Diverse Fragen zu http und https Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo zusammen,

ich bin Alex, 25 und aus Oberfranken, genauer Coburg. Ich hatte 'mal Fachinformatiker gelernt, wie viel davon hängen geblieben ist, ist jedoch fraglich.
großes Grinsen

Ich habe ein paar (ich denke eher elementare) Fragen zu http. Ich werde im Laufe der Zeit sicherlich noch mehr elementare Fragen haben, bitte steinigt mich nicht für dumme fragen smile

1)
Ursprünglich hatte ich mich mit Firewalls beschäftigt und kam über die Wikipedia Seite zu Firewalls auf meine Frage.

In dem Wikipedia Artikel steht: (bezieht sich auf http)
Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren

Ich frage mich aber: Wie soll dass denn funktionieren?
Wenn ich eine Kommunikation Client <-> WebServer habe, ruft der Client vom WebServer auf Port 80 eine Datei ab, zum Beispiel html. Diese wird dann im Browser des Clients angezeigt.
Wie kommt da eine Schadsoftware durch? Und wie schafft es diese, sich auf dem Client auszuführen / zu installieren?

2)
Man sagt ja immer, http ist unsicher, da nicht verschlüsselt. Lieber auf https schwenken.
Wenn ich nun eine Login Seite habe, die zwar http verwendet - aber der Login an sich (Eingabe von Benutzer und Passwort) via JavaScript realisiert wird.
Ist das trotzdem unsicher?
Theoretisch schon, da die Kommunikation an sich nicht verschlüsselt ist. Ist das richtig?


Vielen Dank für eure Antworten.

Gruß
Alex
30.04.2019 09:20 Alex93242 ist offline Beiträge von Alex93242 suchen Nehmen Sie Alex93242 in Ihre Freundesliste auf
ed209
Routinier


Dabei seit: 07.09.2006
Beiträge: 313

RE: Diverse Fragen zu http und https Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ich nehme mal an hier geht es um Man-in-the-middle-Angriffe. In dem Fall kann jemand mit Zugriff auf den Traffic die Kommunikation verfaelschen.

Zum Beispiel: Ich nenne mein WLAN "Starbucks Free Wifi" und leite deinen http-Traffic um, nachdem Du dich mit dem Wifi verbindest.

Zitat:

In dem Wikipedia Artikel steht: (bezieht sich auf http)
Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren

Ich frage mich aber: Wie soll dass denn funktionieren?
Wenn ich eine Kommunikation Client <-> WebServer habe, ruft der Client vom WebServer auf Port 80 eine Datei ab, zum Beispiel html. Diese wird dann im Browser des Clients angezeigt.
Wie kommt da eine Schadsoftware durch? Und wie schafft es diese, sich auf dem Client auszuführen / zu installieren?


Du hast recht, von alleine wird da erstmal nichts ausgefuehrt. Aber auf zwei Arten kann das doch passieren.
a.) Du laedst dir etwas aus dem Internet runter, mit der Absicht es auszufuehren. Zum Beispiel einen Installier fuer Windows "setup.exe". Alles was ich machen muss ist dir eine falsche Datei unterzuspielen. Die macht was ich will

b.) Falls Du eine veraltete Browserversion benutzt, kann ich auch eine html-Seite unterjubeln die einen JavaScript exploit hat oder etwas aehnliches. Der Exploit umgeht die Sicherheitsmassnahmen und laedt meine boesartige exe-Datei nach.

Zitat:

2)
Man sagt ja immer, http ist unsicher, da nicht verschlüsselt. Lieber auf https schwenken.
Wenn ich nun eine Login Seite habe, die zwar http verwendet - aber der Login an sich (Eingabe von Benutzer und Passwort) via JavaScript realisiert wird.
Ist das trotzdem unsicher?


JavaScript benutzt auch http oder https um den Ajax-request durchzufuehren, das Passwort kann also mitgelesen werden. Selbst wenn Du die uebertragung des Passworts mittels Javascripts verschluesselst (worauf ich mich nicht verlassen wuerde, weil das ziemlich schwierig ist richtig hinzukriegen), kann ich dir einfach eine falsche Version von dem JavaSCript unterjubeln, denn die js-Datei selber kommt ja ueber http.

Gruss,
ED
05.05.2019 11:32 ed209 ist offline E-Mail an ed209 senden Beiträge von ed209 suchen Nehmen Sie ed209 in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Informatiker Board » Themengebiete » Informatik in der Schule » Diverse Fragen zu http und https