Lighty mit ssl und auth: Password-Übertragung sicher?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Lighty mit ssl und auth: Password-Übertragung sicher?

Beitrag von ingo2 » 16.09.2017 11:37:50

Habe nur eine Verständnisfrage:

Ich habe Lighty mit dem Modulen "ssl" und "auth", wobei ich das "Document-root" per "auth" abgesichert habe. Damit kommt vor der Anzeige der Website ein Pop-up-Fenster für den Login, welches nach User und Passwort fragt. Das läuft soweit prima, nur weiß ich nicht, ob die Logindaten jetzt schon SSL-gesichert übertragen werden, oder ob da alles völlig ungesichert im Klartext läuft (im Browser wird beim Login jedenfalls keine Kennzeichnung für eine sichere Verbindung gezeigt).

Weiß da jemand Bescheid?

Gruß,
Ingo

DeletedUserReAsG

Re: Lighty mit ssl und auth: Password-Übertragung sicher?

Beitrag von DeletedUserReAsG » 16.09.2017 11:39:55

Hängt etwas davon ab, wie’s konkret konfiguriert ist. Die einfachste Methode, nachzuschauen: mit etwa tcpdump oder wireshark gucken, ob die Pakete verschlüsselt sind. Ein Blick in die Logs mag ebenfalls Aufschluss bringen.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Lighty mit ssl und auth: Password-Übertragung sicher?

Beitrag von ingo2 » 16.09.2017 19:29:41

So, habe jetzt mal Wireshark angeworfen und im Lighty "auth-basic" als Authentifizierung eingestellt.
Zunächst habe ich dann die Anmeldung per HTTP mitgeschnitten und den Filter auf
http.authbasic
gesetzt. Unter Authorisation: Basic -> Credentials finde ich dann User:Passwort im Klartext -> ok.

Jetzt den gleichen Vorgang bei Anmeldung über HTTPS (TLS 1.2):
Mit dem gleichen Filter "http.authbasic" finde ich kein Paket.

Kann ich dann davon ausgehen, das die Anmeldung TLS-gesichert erfolgt?

Im Prinzip könnte ich dann sogar die Anmeldung bei "auth-basic" belassen, wenn ich den Zugang nur über HTTPS erlaube?

Gruß,
Ingo

Antworten