 Diverse Fragen zu http und https |
Alex93242
Grünschnabel
Dabei seit: 30.04.2019
Beiträge: 1
 |
|
| Diverse Fragen zu http und https |
     |
Hallo zusammen,
ich bin Alex, 25 und aus Oberfranken, genauer Coburg. Ich hatte 'mal Fachinformatiker gelernt, wie viel davon hängen geblieben ist, ist jedoch fraglich.
Ich habe ein paar (ich denke eher elementare) Fragen zu http. Ich werde im Laufe der Zeit sicherlich noch mehr elementare Fragen haben, bitte steinigt mich nicht für dumme fragen 
1)
Ursprünglich hatte ich mich mit Firewalls beschäftigt und kam über die Wikipedia Seite zu Firewalls auf meine Frage.
In dem Wikipedia Artikel steht: (bezieht sich auf http)
Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren
Ich frage mich aber: Wie soll dass denn funktionieren?
Wenn ich eine Kommunikation Client <-> WebServer habe, ruft der Client vom WebServer auf Port 80 eine Datei ab, zum Beispiel html. Diese wird dann im Browser des Clients angezeigt.
Wie kommt da eine Schadsoftware durch? Und wie schafft es diese, sich auf dem Client auszuführen / zu installieren?
2)
Man sagt ja immer, http ist unsicher, da nicht verschlüsselt. Lieber auf https schwenken.
Wenn ich nun eine Login Seite habe, die zwar http verwendet - aber der Login an sich (Eingabe von Benutzer und Passwort) via JavaScript realisiert wird.
Ist das trotzdem unsicher?
Theoretisch schon, da die Kommunikation an sich nicht verschlüsselt ist. Ist das richtig?
Vielen Dank für eure Antworten.
Gruß
Alex
|
|
30.04.2019 09:20 |
|
|
ed209
Routinier
Dabei seit: 07.09.2006
Beiträge: 324
|
|
| RE: Diverse Fragen zu http und https |
|
Ich nehme mal an hier geht es um Man-in-the-middle-Angriffe. In dem Fall kann jemand mit Zugriff auf den Traffic die Kommunikation verfaelschen.
Zum Beispiel: Ich nenne mein WLAN "Starbucks Free Wifi" und leite deinen http-Traffic um, nachdem Du dich mit dem Wifi verbindest.
| Zitat: |
In dem Wikipedia Artikel steht: (bezieht sich auf http)
Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren
Ich frage mich aber: Wie soll dass denn funktionieren?
Wenn ich eine Kommunikation Client <-> WebServer habe, ruft der Client vom WebServer auf Port 80 eine Datei ab, zum Beispiel html. Diese wird dann im Browser des Clients angezeigt.
Wie kommt da eine Schadsoftware durch? Und wie schafft es diese, sich auf dem Client auszuführen / zu installieren?
|
Du hast recht, von alleine wird da erstmal nichts ausgefuehrt. Aber auf zwei Arten kann das doch passieren.
a.) Du laedst dir etwas aus dem Internet runter, mit der Absicht es auszufuehren. Zum Beispiel einen Installier fuer Windows "setup.exe". Alles was ich machen muss ist dir eine falsche Datei unterzuspielen. Die macht was ich will
b.) Falls Du eine veraltete Browserversion benutzt, kann ich auch eine html-Seite unterjubeln die einen JavaScript exploit hat oder etwas aehnliches. Der Exploit umgeht die Sicherheitsmassnahmen und laedt meine boesartige exe-Datei nach.
| Zitat: |
2)
Man sagt ja immer, http ist unsicher, da nicht verschlüsselt. Lieber auf https schwenken.
Wenn ich nun eine Login Seite habe, die zwar http verwendet - aber der Login an sich (Eingabe von Benutzer und Passwort) via JavaScript realisiert wird.
Ist das trotzdem unsicher?
|
JavaScript benutzt auch http oder https um den Ajax-request durchzufuehren, das Passwort kann also mitgelesen werden. Selbst wenn Du die uebertragung des Passworts mittels Javascripts verschluesselst (worauf ich mich nicht verlassen wuerde, weil das ziemlich schwierig ist richtig hinzukriegen), kann ich dir einfach eine falsche Version von dem JavaSCript unterjubeln, denn die js-Datei selber kommt ja ueber http.
Gruss,
ED
|
|
|
05.05.2019 11:32 |
|
|
|
