Lighty mit ssl und auth: Password-Übertragung sicher?

ingo2 · Beitrag von **ingo2** » 16.09.2017 11:37:50

Habe nur eine Verständnisfrage:

Ich habe Lighty mit dem Modulen "ssl" und "auth", wobei ich das "Document-root" per "auth" abgesichert habe. Damit kommt vor der Anzeige der Website ein Pop-up-Fenster für den Login, welches nach User und Passwort fragt. Das läuft soweit prima, nur weiß ich nicht, ob die Logindaten jetzt schon SSL-gesichert übertragen werden, oder ob da alles völlig ungesichert im Klartext läuft (im Browser wird beim Login jedenfalls keine Kennzeichnung für eine sichere Verbindung gezeigt).

Weiß da jemand Bescheid?

Gruß,
Ingo

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 16.09.2017 11:39:55

Hängt etwas davon ab, wie’s konkret konfiguriert ist. Die einfachste Methode, nachzuschauen: mit etwa tcpdump oder wireshark gucken, ob die Pakete verschlüsselt sind. Ein Blick in die Logs mag ebenfalls Aufschluss bringen.

ingo2 · Beitrag von **ingo2** » 16.09.2017 19:29:41

So, habe jetzt mal Wireshark angeworfen und im Lighty "auth-basic" als Authentifizierung eingestellt.
Zunächst habe ich dann die Anmeldung per HTTP mitgeschnitten und den Filter auf
http.authbasic
gesetzt. Unter Authorisation: Basic -> Credentials finde ich dann User:Passwort im Klartext -> ok.

Jetzt den gleichen Vorgang bei Anmeldung über HTTPS (TLS 1.2):
Mit dem gleichen Filter "http.authbasic" finde ich kein Paket.

Kann ich dann davon ausgehen, das die Anmeldung TLS-gesichert erfolgt?

Im Prinzip könnte ich dann sogar die Anmeldung bei "auth-basic" belassen, wenn ich den Zugang nur über HTTPS erlaube?

Gruß,
Ingo

debianforum.de

Lighty mit ssl und auth: Password-Übertragung sicher?

Lighty mit ssl und auth: Password-Übertragung sicher?

Re: Lighty mit ssl und auth: Password-Übertragung sicher?

Re: Lighty mit ssl und auth: Password-Übertragung sicher?