Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[BROWSER] Wanneer is https precies veilig?

Pagina: 1
Acties:

maandag 22 juni 2009 14:31

Acties:
  • Cliff
  • Registratie: Juni 2000
  • Laatst online: 16-09 19:41

Cliff

Topicstarter
Hallo,

Ik heb een meningsverschil met een collega en we komen er niet helemaal uit.

In een programma wat we gebruiken staat een regel code die er ongeveer zo uitziet:

code:
1

wget https://www.domeinnaam.nl/bladiebla.php?login=username&password=geheim


Ons meningsverschil is over de veiligheid. Volgens mijn collega is dit veilig, omdat het https is. Volgens mij niet, omdat dit commando eerst verstuurd wordt voordat het versleuteld wordt. Het wachtwoord zou dus op te pikken zijn omdat het ongecodeerd die kant op geschoten wordt.

Weten jullie hoe het zit?

[ Voor 1% gewijzigd door Cliff op 22-06-2009 14:32 . Reden: code tgas vergeten ]

maandag 22 juni 2009 14:37

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 19:59

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Er wordt eerst een SSL verbinding opgezet voordat daar versleutelde pakketjes met daarin HTTP requests en responses overheen gaan :)

Moet je alleen natuurlijk nog wel even zorgen dat het systeem waarop dat programma staat beveiligd is, zodat die code niet te lezen is door onbevoegden en onbevoegden ook niet kunnen zien dat je dat wget commando aan het uitvoeren bent.

[ Voor 4% gewijzigd door Orion84 op 22-06-2009 14:38 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 22 juni 2009 14:41

Acties:
  • Eddy Dean
  • Registratie: November 2007
  • Laatst online: 21:49

Eddy Dean

Ik heb het net even geprobeert met een sniffer erbij. Er wordt eerst een verbinding gemaakt met de server, zonder de parameters enzo, daarna wordt over de beveiligde verbinding een echte request gemaakt.

Het wachtwoord is dus niet op te pikken, de domeinnaam wel.

dinsdag 23 juni 2009 11:47

Acties:
  • Cliff
  • Registratie: Juni 2000
  • Laatst online: 16-09 19:41

Cliff

Topicstarter
Bedankt! Dit was precies wat ik wilde weten :)

dinsdag 23 juni 2009 12:21

Acties:

Verwijderd

met een geldig SSL certificaat kan je het bron identificeren. Je weet dus dat bijvv. domeinnaam.nl echt van domeinnaam.nl is (als de CA een beetje betrouwbaar is).

Dit voorkomt dat je door typo fouten je wachtwoord aan een phising site afstaat.

en idd check daarna even met een sniffer om te kijken of het daadwerkelijk versleuteld word.


Daarnaast. je verstuurt hem alsnog met een GET verzoek, hij valt dus nog uit je browser cache te halen. Gebruik altijd POST voor dit soort dingen!!!!
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq