Frage zu SSL

  • Hallo,


    wird bei einer SSL-Verschlüsselung auch der Link verschlüsselt oder kann ein Dritter, z.B. der Administrator, in irgendwelchen Log-Dateien den Link
    im Klartext lesen?

  • So ganz verstehe ich deine Frage nicht.
    Was gibt es denn an einem Link zu verschlüsseln?

  • Also ich habe folgendes getestet:


    Ich habe ein eigenes SSL-Zertifikat, das funktioniert.
    Nun habe ich einen passwortgeschützten Freigabelink auf einen Ordner erstellt.
    In diesem Ordner ist eine PDF-Datei.
    Nun rufe ich auf einem fremden Computer z.B. in einem Internet-Café den Freigabelink auf.
    Es kommt die Passwortabfrage, danach sehe ich die PDF-Datei und kann sie aufrufen.
    Wenn ich jetzt den Link zur PDF-Datei oben im IE kopiere, alles schließe und dann im IE den Link einfüge und erneut aufrufe, komme ich direkt wieder ohne Passwortabfrage zu der PDF-Datei.
    Mein Gedanke wäre nun:
    Wenn der Link bei SSL nicht verschlüsselt wird, könnte der Betreiber des Internet-Cafes ja z.b. den in der Firewall-Logdatei gespeicherten unverschlüsselten Link aufrufen und würde ebenfalls die PDF-Datei sehen, ohne Passwortabfrage.
    Dann macht aber die vorgeschaltete Qnap-Seite mit der Passwort-Abfrage bzw. SSL keinen Sinn.

  • Das Problem wird wohl eher sein, dass du dich nicht wieder abgemeldet hast und der Rechner noch zugriff hat, weil die Sitzung noch nicht abgelaufen ist.

  • Nein, ich habe den Link in einem anderen Browser aufgerufen, und das PDF war da.
    Explizit abmelden kann man sich da auch gar nicht.

  • Es ist durch aus möglich so eine Sitzung auch per Link in einen anderen Browser zu übertragen. Kommt aber auf den Link an.

  • Ja das scheint so zu sein, da ist es dann aber nicht mehr sicher, weil jeder diesen link aufrufen kann

  • Ich schau mal ob ich das rekonstruieren kann.


    Jap also der Link sieht ja dann in etwa so aus.


    https://ip/share.cgi?ssid=xyz5fg


    Die ssid ist eben genau diese session ID und die steht direkt mit im Link. So was sollte heute eigentlich nicht mehr passieren, früher hat man das häufiger gesehen.


    Eigentlich bleiben dir nur zwei Möglichkeiten, du beschränkst den Zugriff Zeitlich, oder du legst einen extra nutzer an über den auf die Datei zugegriffen werden darf.


    So wie es hier gelöst ist, ist es tatsächlich unsicher, denn sobald die Datei einmal entschlüsselt wurde kann jeder der den entschlüsselten Link hat zugreifen, so lange die Session nicht abgelaufen ist.

    2 Mal editiert, zuletzt von angelluck ()

  • Der Link auf die Datei müsste länger sein. aber egal.
    Auch wenn die Session angelaufen ist oder man an einem anderen PC ist, oder der Netzwerkadministrator kann den Link aufrufen und bekommt das Dokument.
    Billig gemacht.

  • Ja wenn er entschlüsselt ist, ist er noch ein stück länger. Aber die SSID ist drin darum gehts im wesentlichen. Wenn die Session abgelaufen ist, dürfte auch der Netzadmin keinen Zugriff mehr auf die Datei haben.


    Aber du hast recht, da wird was als sicher verkauft was nicht wirklich sicher ist. Jedenfalls nicht langfristig.

  • Dann ist das eigentlich nicht nutzbar, da nutzen dann auch teure Zertifikate nichts.
    Ich wollte mir den passwortgeschützten, SSL-Zugriff auf einen Ordner ermöglichen, um auch woanders Zugriff auf die Daten zu haben. Das geht ja dann wohl damit nicht bzw. macht keinen Sinn.

  • Es liegt eigentlich hauptsächlich daran, dass man die Session nicht beenden kann.


    Aber wenn es darum geht, dass nur du selbst auf die Daten zugreifen willst, würde ich eh OpenVPN verwenden. Dann läuft alles über diese verschlüsselte verbindung und es würde gar nichts nützen, wenn der Admin die IP Adresse hätte. Denn nur wenn man sich am VPN anmeldet erhält man dann auch zugriff darauf. Natürlich nur wenn man das NAS ansonsten von außen abschottet.

  • Ja das ist natürlich besser, aber VPN geht nicht überall einzusetzen, un auch umständlicher.
    Ich wollte mir damit eigentlich den USB-Stick ersparen, den ich sonst mit mir rumschleppe.

  • Lass den USB-Stick zu hause und pack es aufs Handy.


    Wo genau soll VPN denn nicht gehen? Raus kommt man damit doch eigentlich immer oder nicht?

  • Was ist, wenn zwischenzeitlich alle Browser geschlossen wurden, ist dann die Session noch gültig.
    Wahrscheinlich schon,
    aber auch so wie ich es kenne, wird zur SessionID auch die IP-Adresse und Benutzername gespeichert
    und somit nur der Zugriff von demselben PC möglich sein.
    Dies müßte man mal im Test ausschließen.

  • Wenn ich z.b. keinen VPN-Client installieren bzw. aktivieren kann, weil keine Administratorrechte.


    Ich glaub auch nicht, das da überhaupt eine Session erzeugt wird, so billig wie das gemacht ist.
    Ich denke mal, dass das Script nur das Passwort mit dem hinterlegten vergleicht und dann zur nächsten Seite weiterleitet.

  • Wenn man den entschlüsselten Link hat, wäre es sogar möglich sich die Datei an einem anderen Rechner anzuschauen, jedenfalls bis die Session automatisch abgelaufen ist.


    Es gibt hier auch keinen Benutzernamen, da der Link auch an Leute verschickt werden kann, die gar nicht auf dem NAS regestriert sind.