Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Passwortvervollständigungsdatenformat (https://www.delphipraxis.net/31964-passwortvervollstaendigungsdatenformat.html)

Meflin 16. Okt 2004 11:38
Passwortvervollständigungsdatenformat
 
Hi,
ich habe es jetzt immerhin geschafft, mit der PStorageLib von Cobans.net die passwörter der autovervolständigung unentschlüsselt auszugeben, aber: wenn ich z.b. bei ebay zwei autovervollständigungspasswörter abspeichere, sind die so abgespeichert: user1password1user2password2 (natürlich verschlüsselt). woher weis man dann bitte, wo der 1. username aufhört, der 2. anfängt usw??
ausserdem: bei httacces passwörtern erfolgt die ausgabe so: username:passwort. wenn jetzt aber im username oder passwort ein : vorkommt, woher weis ich dann wiederum wo der usrname aufhört und das passwort anfängt?

*MFG*

jim_raynor 20. Okt 2004 23:45
Re: Passwortvervollständigungsdatenformat
 
Zitat:
Zitat von Meflin
ausserdem: bei httacces passwörtern erfolgt die ausgabe so: username:passwort. wenn jetzt aber im username oder passwort ein : vorkommt, woher weis ich dann wiederum wo der usrname aufhört und das passwort anfängt?
Ich glaube da musst du dir keine Sorgen machen. Im Username von htaccess darf ganz einfach kein Doppelpunkt vorkommen.

himitsu 20. Okt 2004 23:53
Re: Passwortvervollständigungsdatenformat
 
und bei den user1password1user2password2 vermute ich mal ein Trennzeichen, welches bei dir einfach nicht sichtbar ist, denn wie du schon bemerkt hast ... ohne geht es nicht :zwinker:

vermutlich was im Bereich von chr(0) bis chr(31) ...

MaBuSE 21. Okt 2004 13:10
Re: Passwortvervollständigungsdatenformat
 
Zitat:
Zitat von Meflin
ich habe es jetzt immerhin geschafft, mit der PStorageLib von Cobans.net die passwörter der autovervolständigung unentschlüsselt auszugeben
Glückwunsch ;-)
Zitat:
Zitat von Meflin
, aber: wenn ich z.b. bei ebay zwei autovervollständigungspasswörter abspeichere, sind die so abgespeichert: user1password1user2password2 (natürlich verschlüsselt). woher weis man dann bitte, wo der 1. username aufhört, der 2. anfängt usw??
ausserdem: bei httacces passwörtern erfolgt die ausgabe so: username:passwort. wenn jetzt aber im username oder passwort ein : vorkommt, woher weis ich dann wiederum wo der usrname aufhört und das passwort anfängt?
Schau mal in diesem thread nach: http://www.delphipraxis.net/images/common/icon_dp.gifHTTACCESS passwort abspeicherung von windows (Ich weiß, den hast Du schon gelesen ;-))

Das Tool PassView kann die Daten auch im Raw Format z.B. als *.txt oder *.html abspeichern.
Dort kannst Du Dir die entschlüsselten Blöche genau anschauen. Und Du wirst sehen, es gibt Trennzeichen (#0) für die Autovervollständigung.

Bei den HTTACCESS Passwörtern ist das ":"-Zeichen der Trenner.

HTTACCESS geschützte Seiten kann man auch wie folgt aufrufen:
Code:
http://Username:Passwort@www.webaddresse.de/Verzeichnis
Das geht auch bei ftp so. Wegen dieser Syntax ist also der ":" und das "@"-Zeichen verboten.

Falls Deine Frage beantwortet ist, nicht vergessen mit dem http://www.delphipraxis.net/template...t_answered.gif - Button oben auf der Seite die Frage als beantwortet zu markieren.
Danke

mirage228 21. Okt 2004 13:11
Re: Passwortvervollständigungsdatenformat
 
Bei HTTP Seiten geht das mit Internet Explorer nicht mehr, da es damit meineswissens eine Sicherheitslücke gab. Also wurde diese Funktion (die war glaub ich auch nicht HTTP konform) deaktiviert und die Meldung "Ungültige Syntax" wird ausgegeben.

mfG
mirage228

SubData 21. Okt 2004 13:15
Re: Passwortvervollständigungsdatenformat
 
Doch das geht im IE noch... Du musst halt nur http:// davor schreiben, da er sonst annimmt, dass nach dem : eine Port-Zuweisung kommt

MaBuSE 21. Okt 2004 13:46
Re: Passwortvervollständigungsdatenformat
 
Zitat:
Zitat von mirage228
Bei HTTP Seiten geht das mit Internet Explorer nicht mehr, da es damit meineswissens eine Sicherheitslücke gab. Also wurde diese Funktion (die war glaub ich auch nicht HTTP konform) deaktiviert und die Meldung "Ungültige Syntax" wird ausgegeben.
Das ist absolut HTTP konform !!!

Der RFC 1738 ist vom Dezember 1994 und beschreibt wie eine URL auszusehen hat.
im RFC 1738 steht: http://www.ietf.org/rfc/rfc1738.txt
3.1. Common Internet Scheme Syntax

While the syntax for the rest of the URL may vary depending on the
particular scheme selected, URL schemes that involve the direct use
of an IP-based protocol to a specified host on the Internet use a
common syntax for the scheme-specific data:

//<user>:<password>@<host>:<port>/<url-path>

Some or all of the parts "<user>:<password>@", ":<password>",
":<port>", and "/<url-path>" may be excluded. The scheme specific
data start with a double slash "//" to indicate that it complies with
the common Internet scheme syntax. The different components obey the
following rules:

user
An optional user name. Some schemes (e.g., ftp) allow the
specification of a user name.

password
An optional password. If present, it follows the user
name separated from it by a colon.

The user name (and password), if present, are followed by a
commercial at-sign "@". Within the user and password field, any ":",
"@", or "/" must be encoded.

sakura 21. Okt 2004 13:53
Re: Passwortvervollständigungsdatenformat
 
Zitat:
Zitat von mirage228
Bei HTTP Seiten geht das mit Internet Explorer nicht mehr, da es damit meineswissens eine Sicherheitslücke gab.
Ich habe alle Patches drauf und es geht noch :mrgreen: Die Sicherheitslücke besteht darin, dass die URL so (also mit Username/Passwort) in der History abgespeichert wird und von Tools wie der Google-Toolbar und ähnlichem evtl. an andere Server übertragen werden kann.

...:cat:...

MaBuSE 21. Okt 2004 14:08
Re: Passwortvervollständigungsdatenformat
 
Zitat:
Zitat von sakura
Zitat:
Zitat von mirage228
Bei HTTP Seiten geht das mit Internet Explorer nicht mehr, da es damit meineswissens eine Sicherheitslücke gab.
Ich habe alle Patches drauf und es geht noch :mrgreen: Die Sicherheitslücke besteht darin, dass die URL so (also mit Username/Passwort) in der History abgespeichert wird und von Tools wie der Google-Toolbar und ähnlichem evtl. an andere Server übertragen werden kann.
Ich stimme Dir zu sakura.
Die "Sicherheitslücke" besteht aber darin, das der Username / Passwort eh im Klartext übertragen wird.
Egal ob in Username/Passwort in der URL enthalten sind oder nicht :-(
Nur SSL bietet Schutz beim Anmelden.

Aber bitte nicht mit https://Username:Passwort@host :mrgreen:

Bei ftp gilt das Selbe, nur das es da kein SSL gibt.

Euer um Eure Sicherheit besorgter
Dr. MABuSE

ps: hihi :mrgreen:

Meflin 21. Okt 2004 16:16
Re: Passwortvervollständigungsdatenformat
 
ok danke, vermutet hatt ichs ja schon, muss ich also nur noch an der ausgabe feilen :thumb:


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:10 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz