Login via HTTPS


Seite: 1
Autor Beitrag
Ditti4
28.05.12 - 18:14:48 Uhr

Ich bin momentan in meiner "Ich kann also knacken"-Phase.
Und so war auch Pytal dran.
Positiv: Einloggen mit gesnifften Cookies geht nicht.

Negativ: Die Daten, die beim Login gesendet werden, werden unverschlüsselt gesendet. Das heißt, dass sowas zum Beispiel im Wireshark-Log landet:
usr=ditti4&pwd=****&auto=2419200&btnlogin=Login

Das ist natürlich nicht gerade eine sichere Variante, jedoch wurde (zumindest auf der Hauptseite) das SSL-Zertifikat erneuert - damit kann man auf pytal.de wieder ohne Warnung via HTTPS surfen.

Mein Vorschlag wäre also, dass die Daten beim Login mit SSL verschlüsselt werden, der restliche Besuch kann weiterhin auf HTTP aufbauen.

Bis dieser Vorschlag umgesetzt wurde: unbedingt immer über HTTPS einloggen, man weiß ja nie, wen man im Netzwerk hat.

Soweit von mir
Ditti
nenad
29.05.12 - 06:36:49 Uhr

Man kann auch einfach https://www.pytal.de aufrufen. Dann ist man immer auf SSL.

Das Zertifikat ist auch nicht abgelaufen, es ist bis zum 01.09.2012 gültig.

Freundliche Grüße,
Nenad Marjanovic.
anarchopunk
01.06.12 - 15:56:51 Uhr

Wie wär's mit ner permanenten SSL Verbindung?
Also gleich beim ersten Aufrug der Seite ne Weiterleitung von http auf https?
Achtzig
31.08.12 - 13:52:00 Uhr

Wollte nur anmerken, daß morgen um 18:44 Uhr das Zertifikat ungültig wird
SammysHP
31.08.12 - 15:37:27 Uhr

Ehrlich gesagt glaube ich nicht, dass das rechtzeitig oder in naher Zukunft aktualisiert wird.

_________________
www.sammyshp.de
Ditti4
31.08.12 - 19:28:30 Uhr

Einfach Geduld haben. Tut sich bestimmt noch etwas.
Seite: 1

- Obige Beiträge stellen keine Äußerung oder Meinung von Pytal oder dessen Betreiber dar -