AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Grundsätzliche Frage SSL

Ein Thema von lowmax_5 · begonnen am 15. Feb 2017 · letzter Beitrag vom 16. Feb 2017
Antwort Antwort
lowmax_5

Registriert seit: 9. Mai 2003
Ort: Münster, NRW
258 Beiträge
 
Delphi 11 Alexandria
 
#1

Grundsätzliche Frage SSL

  Alt 15. Feb 2017, 16:25
Hallo,

ich möchte gerne einen Rest-Service per SSL ansteuern. Ein Kennwort/Token ist dabei in der https-Url codiert.

Ist dieses ein akzeptabler und gangbarer Weg? Wird bei einem Aufruf REST-Client Aufruf die Url bereits entsprechend verschlüsselt?

Habe mir das ganze über Wireshark angesehen.Der Response definitiv gecrypted und eine Url konnte ich nicht im Klartext finden.
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#2

AW: Grundsätzliche Frage SSL

  Alt 15. Feb 2017, 16:30
Ist dieses ein akzeptabler und gangbarer Weg? Wird bei einem Aufruf REST-Client Aufruf die Url bereits entsprechend verschlüsselt?
Ja, das ist sie. Einziges Problem: der Client kennt das Token

Bei einem SSL (TLS) Verbindungsaufbau zu einem HTTP Server wird zuerst der Server kontaktiert und die Verschlüssselung ausgehandelt. Die tatsächliche URL des Requests wird erst danach an den Server gesendet.

Man in the middle Attacken sind dann aber z.B. über einen Proxy möglich, dessen Zertifikat vom Client akzeptiert wird. Der Proxy sieht den gesamten Traffic dann unverschlüsselt. Zum Beispiel bei Unternehmensfirewalls gibt es solche transparenten Proxyserver.
Michael Justin

Geändert von mjustin (15. Feb 2017 um 16:36 Uhr)
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#3

AW: Grundsätzliche Frage SSL

  Alt 15. Feb 2017, 16:35
Wird bei einem Aufruf REST-Client Aufruf die Url bereits entsprechend verschlüsselt?
Ja. SSL bzw. TLS arbeitet auf OSI-Schicht 4 (daher der Name "Transport Layer Security"), HTTP/REST auf Schicht 6 bis 7. Das heißt, die komplette HTTP/REST-Kommunikation einschließlich dem Übermitteln von URLs ist verschlüsselt.

Ich würde mir nur Gedanken machen, ob die Aufrufe vom Server eventuell geloggt werden. Da könnte es sein, dass das Token dann im Klartext im Logfile auftaucht. Keine Ahnung, ob das bei deiner Anwendung ein Problem ist.
  Mit Zitat antworten Zitat
lowmax_5

Registriert seit: 9. Mai 2003
Ort: Münster, NRW
258 Beiträge
 
Delphi 11 Alexandria
 
#4

AW: Grundsätzliche Frage SSL

  Alt 15. Feb 2017, 23:33
Vielen Dank für die Antworten! Dass hilft mir weiter!
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#5

AW: Grundsätzliche Frage SSL

  Alt 16. Feb 2017, 00:21
Man in the middle Attacken sind dann aber z.B. über einen Proxy möglich, dessen Zertifikat vom Client akzeptiert wird. Der Proxy sieht den gesamten Traffic dann unverschlüsselt. Zum Beispiel bei Unternehmensfirewalls gibt es solche transparenten Proxyserver.
Geht aber auch nur, wenn der Client es versäumt den Public-Key/des Zertifikat des Servers gegenzuprüfen. Ist diese Vorraussetzung aber erfüllt, dann ist dein Traffic - zumindest für heimliche Mitleser - nicht mehr einzusehen.

Ja, das ist sie. Einziges Problem: der Client kennt das Token
Sehe ich nicht als Problem, da der Client ja autorisiert sein sollte. Ist das nicht garantiert, kann man das Token notfalls auch erst nach einem entsprechenden Login vom Server generieren und an den Client senden lassen.

Wichtig ist nur, dass das Token zufällig gewählt wird, damit ein Angreifer keine Möglichkeit hat z.b. durch einfaches Erhöhen einer Nummer, plötzlich andere Identitäten anzunehmen.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
lowmax_5

Registriert seit: 9. Mai 2003
Ort: Münster, NRW
258 Beiträge
 
Delphi 11 Alexandria
 
#6

AW: Grundsätzliche Frage SSL

  Alt 16. Feb 2017, 08:50
Zitat:
Wichtig ist nur, dass das Token zufällig gewählt wird, damit ein Angreifer keine Möglichkeit hat z.b. durch einfaches Erhöhen einer Nummer, plötzlich andere Identitäten anzunehmen.
Als Token verwende ich eine GUID.
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#7

AW: Grundsätzliche Frage SSL

  Alt 16. Feb 2017, 13:58
Man in the middle Attacken sind dann aber z.B. über einen Proxy möglich, dessen Zertifikat vom Client akzeptiert wird. Der Proxy sieht den gesamten Traffic dann unverschlüsselt. Zum Beispiel bei Unternehmensfirewalls gibt es solche transparenten Proxyserver.
Geht aber auch nur, wenn der Client es versäumt den Public-Key/des Zertifikat des Servers gegenzuprüfen. Ist diese Vorraussetzung aber erfüllt, dann ist dein Traffic - zumindest für heimliche Mitleser - nicht mehr einzusehen.
Ein Restrisko ist dann vorhanden, wenn die Firewall angreifbar ist, zum Beispiel Request-Logs schreibt (in denen dann das Token erscheint), oder andere "heimliche" Anwendungen Zugriff haben können.

Das Prüfen des Zertifikats durch den Client schliesst diese Lücke nicht.
Michael Justin
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#8

AW: Grundsätzliche Frage SSL

  Alt 16. Feb 2017, 16:11
Auf dem Überragungsweg sind die Daten verschlüsselt, aber in den Logdateien des Webservers stehen die Daten (also die Request-URL) meist im Plaintext drin. Eventuell solltest du das beachten.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#9

AW: Grundsätzliche Frage SSL

  Alt 16. Feb 2017, 17:52
Auf dem Überragungsweg sind die Daten verschlüsselt, aber in den Logdateien des Webservers stehen die Daten (also die Request-URL) meist im Plaintext drin. Eventuell solltest du das beachten.

Daher sollten Token etc. auch nicht in der URL enthalten sein.

Zitat:
Usernames, passwords, session tokens, and API keys should not appear in the URL, as this can be captured in web server logs, which makes them intrinsically valuable.
https://www.owasp.org/index.php/REST...ion_management
Michael Justin
habarisoft.com
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:34 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz