Wie Passwort sicher per HTTP-Post senden?

17/06/2008 - 07:49 von Manuel Reimer | Report spam
Hallo,

um mit einer Seite via wget fernzusteuern muss ich zunàchst das Passwort
senden um eine Session-ID via Cookie zu erhalten.

Ein Übergeben via Befehlszeile (in "ps"-Auflistung sichtbar) ist mir zu
unsicher. Deshalb würde ich eine temporàre Datei via mktemp oder
tempfile erzeugen, die Post-Paramter dort reinschreiben und dann die
Datei an wget übergeben. Eine weitere temporàre Datei wàre fàllig um das
Cookie aufzunehmen.

- Geht es noch sicherer?
- Sind temporàre Dateien, die mit mktemp oder tempfile erzeugt werden
unter /tmp sicher oder sollte ich diese ausnahmsweise unter $HOME
erzeugen?

Danke im Voraus

CU

Manuel

www.jetzt-abwaehlen.de Wàhlen gehen 2009! Ein Aufruf etwas zu àndern.

Die letzte Stimme, die man hört, bevor die Welt untergeht, wird die
eines Experten sein, der versichert, das sei gar nicht möglich.
 

Lesen sie die antworten

#1 Juergen P. Meier
17/06/2008 - 09:58 | Warnen spam
Manuel Reimer :
um mit einer Seite via wget fernzusteuern muss ich zunàchst das Passwort
senden um eine Session-ID via Cookie zu erhalten.



Welche Authentifikationsverfahren kann der Server?
(w3m -dump_head http://url.des.servers/ bzw. lynx -source -head -dump,
wobei letzterer nicht automatisch redirects folgt)

Bei Auth BASIC oder PLAIN geht das Passwort im Klartext ueber die
Leitung (es sei denn es ist HTTPS).

Ein Übergeben via Befehlszeile (in "ps"-Auflistung sichtbar) ist mir zu
unsicher. Deshalb würde ich eine temporàre Datei via mktemp oder
tempfile erzeugen, die Post-Paramter dort reinschreiben und dann die
Datei an wget übergeben. Eine weitere temporàre Datei wàre fàllig um das
Cookie aufzunehmen.



Wenn wget das kann.

- Geht es noch sicherer?



Sicherer wovor? Jemand der den Netztraffic mitschneidet oder anderen
Benutzern auf dem selben System oder aber dem Superuser auf dem
System?

- Sind temporàre Dateien, die mit mktemp oder tempfile erzeugt werden
unter /tmp sicher oder sollte ich diese ausnahmsweise unter $HOME
erzeugen?



/tmp ist unsicher. du solltest tunlichst temp-files in einem eigenen
Verzeichnis machen, dass 700 Zugriffsrechte hat, wenn du den Inhalt
vor Zugriffen anderer Benutzer schuetzen moechtest.
$HOME/tmp/ boete sich an (TMP Env-variable setzen sorgt bei einigen
Programmen automatisch fuer das Verwenden dieses Verzeichnsisses statt
/tmp).

Da bei /tmp jeder auf das Verzeichnis schreibzugriff hat, gibt es
einige Angriffe gegen Dateien darin, diese reichen von Race-conditions
("erraten" von mktmp-filenames) ueber manipulationen an der
Verzeichnisstruktur (einige FS-Implementierungen erlauben bei write-
access auf den Directory-Inode das beliebige veraendern dessen
inhaltes, also z.b. umbenennen von Dateien darin o.ae.). Zwar
schuetzen einige Implementierungen je nach verwendetem Filesystem
fuer /tmp Dateien anderer Benutzer vor solchem Zugriff, oder gewaehren
ausser ueber die libc-API keinen direktzugriff auf Verzeichnis-inodes,
verlassen sollte man sich darauf jedoch nicht.

HTH,
Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen