it-swarm.com.de

Ist der Browserverlauf ein wichtiger Faktor bei der Betrachtung der Sicherheit?

Ich habe in einem SaaS - Produkt, das den Benutzernamen und das Kennwort in der Abfragezeichenfolge der URL bei der Registrierung und bei jedem Anmeldeversuch enthält, etwas entdeckt, das meiner Meinung nach eine große Sicherheitslücke darstellt.

Der technische Support des Dienstes hat mir mitgeteilt, dass die Sicherheitsanfälligkeit als unbedeutend eingestuft wird. Die einzige Möglichkeit, sie auszunutzen, besteht darin, auf den Browserverlauf des Benutzers zuzugreifen.

Waren sie in ihrer Entscheidung richtig? Ich bin ziemlich neu in der Informationssicherheit, aber es klingt immer noch nach Faulheit.

Ich habe diese Frage durchgesehen, aber nachdem ich die am besten bewertete Antwort gelesen habe, bin ich jetzt noch besorgter darüber, dass dies übersehen wird, da die Daten über GET gesendet werden und die Anmeldeinformationen im Klartext angezeigt werden.

88
Ivan T.

Ja, dies ist eine Sicherheitslücke. Sie können sie auf solche Augustkörper wie zeigen

Das häufigste Problem ist, dass die Anmeldeinformationen auf der Clientseite im Clear (Browserverlauf) und auf der Serverseite (Webserver-Verbindungsprotokolle) und gespeichert werden Es gibt mehrere Methoden, um auf diese Daten zuzugreifen.

Ja, es ist Faulheit von ihrer Seite. Sie denken nur an ihren Code und vergessen die Client-Seite und die Infrastruktur.

119
schroeder

Geheimnisse gehören nicht in URLs. URLs werden in Browserverläufen, in Proxy-Caches und in Serverprotokollen angezeigt, an Analysedienstanbieter gesendet und können an vielen anderen Stellen angezeigt werden, an denen keine geheimen Informationen angezeigt werden sollen. Die Verwendung von HTTPS (sie do verwenden HTTPS, richtig?) Verhindert nur das Proxy-Caching, keines der anderen.

Benutzer können auch URLs kopieren und einfügen, ohne zu bemerken, dass ihre Anmeldeinformationen noch vorhanden sind.

Registrierungen und Anmeldungen sollten daher die Methode HTTPS POST mit den Anmeldeinformationen im Nachrichtentext) verwenden.

56
Philipp

Erste Regel der Produktsicherheit: Vertrauen Sie niemals dem Anbieter, der sagt, dass ein Sicherheitsproblem irrelevant ist.

Ich werde die bereits gegebenen technischen Antworten nicht duplizieren. Ich möchte sie erweitern und darauf hinweisen, dass die Bewertung, die sie dazu führt, das Problem als irrelevant zu bewerten, auf Annahmen basiert, die in der Kundenumgebung möglicherweise Bestand haben oder nicht. Ohne ein solides Verständnis Ihrer Umgebung sie können diesen Anruf nicht tätigen. Das ist wie bei einer Autofirma, die sagt, dass das Fahren ihres neuen Modells mit 250 km/h absolut sicher ist - es befindet sich wahrscheinlich auf der Teststrecke, aber auf den meisten realen Straßen wäre dies nicht der Fall (Straßenqualität und Verkehr).

Dies wird deutlich, wenn Sie verstehen, wie fehlerhaft ihre Bewertung ist. Abgesehen vom Browserverlauf wird ein GET-Parameter auch in Proxy-Protokolldateien angezeigt und kann fälschlicherweise per E-Mail gesendet werden, wenn jemand einen Link freigeben möchte, um nur die beiden offensichtlichsten anderen Möglichkeiten zu nennen, auf die dieses Geheimnis aufgrund seiner schlechten technischen Entscheidung verloren gehen könnte .

Angesichts der Sicherheitsanfälligkeit selbst und ihrer schlechten Argumentation und des Umgangs damit würde ich ernsthaft an ihrer Fähigkeit zweifeln, sichere Produkte herzustellen. Ich würde sie ohne Zweifel informieren und das Produkt im Lichte dieser neuen Informationen neu bewerten.

12
Tom

Du hast recht. Hier gibt es zwei Dinge:

  1. Anmeldeinformationen in der URL
  2. Caching im Browser

Anmeldeinformationen sollten niemals in URLs angezeigt werden. Die URLs werden an vielen Stellen protokolliert, z. B. auf einem Proxyserver, Firewalls usw. Ich würde mich freuen, diese Informationen zu stehlen, wenn ich der Firewall-Administrator oder etwas in dieser Richtung wäre. Nun zu dem Punkt, dass der Angreifer Zugriff auf den Browser benötigen würde. Wie wäre es, wenn der Benutzer einen öffentlichen Computer verwendet? Würden sie immer noch sagen, dass es unbedeutend ist? Wenn sie es tun, Mann, müssen Sie aufhören, ihre Dienste zu nutzen.

3
H4X