cookiie_x3 
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
Geschrieben am: 01.04.2010 um 12:14 Uhr
Zuletzt editiert am: 01.04.2010 um 18:34 Uhr
|
|
hei,
wisst ihr wie sicher post ist? Durch GET werden variable in einer
URL übertragen... diese können ganz einfach verändert werden. Wie sicher ist dann post?
THEMA GEÄNDERT
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
h3mpti - 38
Profi
(offline)
Dabei seit 05.2007
878
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:16 Uhr
|
|
Dadurch das du den HTTP-Header modifizieren kannst, kannst du GET und POST gleichermaßen verändern.
|
|
Amityville - 34
Profi
(offline)
Dabei seit 09.2006
476
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:19 Uhr
|
|
richtig !
du brauchst wenn dann n sicheres protokol (https)
|
|
Michi196 - 30
Champion
(offline)
Dabei seit 11.2006
2879
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:19 Uhr
|
|
Zitat von Amityville: richtig !
du brauchst wenn dann n sicheres protokol (https)
Auf jeden fall ist https sicherer als http 
|
|
Amityville - 34
Profi
(offline)
Dabei seit 09.2006
476
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:20 Uhr
|
|
sagt mir das 14 jährige scriptkiddy <3
|
|
-NoRules- - 32
Experte
(offline)
Dabei seit 10.2009
1177
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:23 Uhr
|
|
auf jeden fall more safety
» Ich bin dankbar, deshalb glaubt dieser Mann an Gott
|
|
h3mpti - 38
Profi
(offline)
Dabei seit 05.2007
878
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:23 Uhr
|
|
Zitat von Amityville: richtig !
du brauchst wenn dann n sicheres protokol (https)
Auch bei HTTPS lassen sich die GET und POST parameter modifizieren. Die Parameter lassen sich lediglich nichtmehr durch Dritte auslesen, da der Transport verschlüsselt ist.
|
|
Amityville - 34
Profi
(offline)
Dabei seit 09.2006
476
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:26 Uhr
|
|
is klar aber ich mein der nutzer kann eh alle daten die gesendet werden modifizieren um dadurch zu versuchen schadcode einzuschleußen
|
|
h3mpti - 38
Profi
(offline)
Dabei seit 05.2007
878
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:28 Uhr
|
|
Zitat von Amityville: is klar aber ich mein der nutzer kann eh alle daten die gesendet werden modifizieren um dadurch zu versuchen schadcode einzuschleußen
Gerade um das geht es ja, wenn ich den Thread Ersteller richtig verstanden habe. Stellt sich nur die Frage, was denn genau erreicht werden will.
Die Daten die vom Benutzer gesendet wurden, sollten ohne Überprüfung sowieso nie verarbeitet werden
|
|
Amityville - 34
Profi
(offline)
Dabei seit 09.2006
476
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:32 Uhr
|
|
Das is richtig :D ohne Prüfung geht nichts xD aber verhindern das Schadcode übergeben wird kann man nicht :D jeder ansatz der mir gerade durch den kopf geht das zu verhindern wäre sehr unpraktikabel und hardwarelastig
|
|
h3mpti - 38
Profi
(offline)
Dabei seit 05.2007
878
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:32 Uhr
|
|
Das ist ja auch nicht die Aufgabe des Transport Layers
|
|
Amityville - 34
Profi
(offline)
Dabei seit 09.2006
476
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:36 Uhr
|
|
Hier kennt sich aber einer aus
|
|
ZER0-CooL - 36
Champion
(offline)
Dabei seit 09.2004
4459
Beiträge
|
|
Geschrieben am: 01.04.2010 um 12:58 Uhr
|
|
Zitat von Amityville: Hier kennt sich aber einer aus
Fachinformatikergrundwissen 
Allgemein sollte man wissen welche Sicherheit er meint, die das es nicht von dritten ausgelesen werden kann oder wie "leicht/schwer" es ist Schadcode einzufügen, wobei das eigentlich in jedem Fall Serverseitig passiert...ausnahmen gibts natürlich auch da 
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
Geschrieben am: 01.04.2010 um 13:48 Uhr
Zuletzt editiert am: 01.04.2010 um 13:51 Uhr
|
|
Zitat von Amityville: Das is richtig :D ohne Prüfung geht nichts xD aber verhindern das Schadcode übergeben wird kann man nicht :D jeder ansatz der mir gerade durch den kopf geht das zu verhindern wäre sehr unpraktikabel und hardwarelastig
Zertifizierte Verbindungen? Wenn die Usergroup bekannt ist kann dessen Identity per Cert geprüft werden und ggf. verweigert werden - Schadcode kann nur einschleußen wer generell verbinden darf.
Inhalt von HTTP Paket muss dann eben entsprechend geparsed werden/geprüft werden ob gültig.
Ansonsten gilt natürlich vorher gesagtes: Beide Requests können nach belieben manipuliert werden. HTTP muss beide Optionen unterstützen. Vgl. RFC 2616
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 01.04.2010 um 14:38 Uhr
|
|
naja ich bleib bei meiner access key methode... mit der ist egal ob GET oder POST. Der schlüssel wird durch mehrere parameter+abhängig von zeit gemixt und generiert.. wodurch nur das client prog zugriff bekommen kann
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 01.04.2010 um 18:36 Uhr
|
|
kann mir mal jemand sagen warum post so ewig langsam ist wenn ich das von einem programm aus sende??
auf die selbe weiße mit GET funkt es extrem schnell
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
[