PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : username,password und filename wird Klartext uebertragen



skorpion
19.12.2006, 21:21
Hallo!

Ich finde es sicherheitstechnisch sehr bedenklich dass Username, Password und Filename beim Decodieren im Klartext uebertragen werden.
So sieht man also wer was macht und kann sich dazu noch das Password ansehen...

Sollte man nicht zumindest das Password MD5 hash'en bevor man es uebertragt?

Raus
19.12.2006, 22:14
Password im Klartext? Wo denn?

skorpion
19.12.2006, 23:00
Das Decoderprogramm laesst einen http GET auf den Server los der so aussieht:
/uncrypt.php?email=deineemailadresse&pass=deinpassword&filename=deingewuenschtesfile

Raus
20.12.2006, 07:05
Vorerst einmal Danke für Deine Antwort!

LG!
RPH

george
20.12.2006, 08:25
..nun ja...wenn jemand nichts besseres zu tun hat, als sich in meinem otr-account reinzuhacken, dann tut der mir leid... :rolleyes:

auf der seite wird ja auch pass/email unverschlüsselt gesendet

skorpion
20.12.2006, 11:41
Es geht ja auch nicht darum dass es dann moeglich ist den account von jemand anderem zu verwendet - man kann sich ja selbst einen erstellen - sondern mehr darum dass man sieht wer was downloaded (data mining).

george
20.12.2006, 12:58
joa.. also wer wirklich sichergehen will kann ja seine id statt email angeben und das ganze ueber proxy laufen lassen. so kommt man höchstens anonym in eine statistik rein.

Raus
20.12.2006, 16:30
Original von george
ok - das stimmt allerdings.
eine passwort-verschlüsselung wäre vielleicht doch sinnvoll...

nur ob otr bereit ist den decoder umzuprogrammieren + login auf der seite mit SSL ist die andere frage...

Eine Passwortverschlüsseöung ist nicht nur sinnvoll, sondern m.E. unerläßich! Auch die Sache mit demm SSL sollte man ernsthaft überlegen.

Programmtechnisch dürfte das kein großes Problem sein.

LG!
RPH

falcon_
21.12.2006, 15:37
Originally posted by RPH

Original von george
ok - das stimmt allerdings.
eine passwort-verschlüsselung wäre vielleicht doch sinnvoll...

nur ob otr bereit ist den decoder umzuprogrammieren + login auf der seite mit SSL ist die andere frage...

Eine Passwortverschlüsseöung ist nicht nur sinnvoll, sondern m.E. unerläßich! Auch die Sache mit demm SSL sollte man ernsthaft überlegen.

Programmtechnisch dürfte das kein großes Problem sein.

LG!
RPH

Wenn das so einfach wäre hätten sie es sicher schon gemacht - SSL ist aber leider nicht so einfach :(
(ne MD5-Sum sollte es dagegen schon sein)

atomino
21.12.2006, 18:34
Original von RPH

Eine Passwortverschlüsseöung ist nicht nur sinnvoll, sondern m.E. unerläßich! Auch die Sache mit demm SSL sollte man ernsthaft überlegen.
RPH

bei FTP werden name und passwort auch als klartext übertragen... schon immer.
wird nur einfach nicht hochgespielt.

jwf2010
21.12.2006, 19:24
Originally posted by atomino
bei FTP werden name und passwort auch als klartext übertragen... schon immer.
wird nur einfach nicht hochgespielt.

Die überwiegende Anzahl von Community Sites verwendet CLEAR TEXT Authentifizierung.
Die grosse Gefahr sehe ich hier auch nicht unbedingt.

Ein Hash bringt auch nicht viel, solange er im Klartext übertragen wird.

Adios