Eine Frage zum Webinterface
was muß ich zusätzlich zur IP Adresse des Webinterface mit eingeben, damit ich nicht
immer das Passwort mit eingeben muß, sondern als Lesezeichen sofort in Webinterface
kommen ?
Full Version: Webinterface
Mir ist keine Lösung bekannt. Wäre auch eine Sicherheitslücke.
http://passwort@ip.ip.ip.ip geht auch nicht.
http://passwort@ip.ip.ip.ip geht auch nicht.
QUOTE(fumagallis @ Oct 11 2005, 08:34 PM)
was muß ich zusätzlich zur IP Adresse des Webinterface mit eingeben, damit ich nicht
immer das Passwort mit eingeben muß, sondern als Lesezeichen sofort in Webinterface
kommen ?
Dir ist klar, daß das gefährlich ist, wenn jemand außer Dir Zugang zu diesem Lesezeichen bekommt?immer das Passwort mit eingeben muß, sondern als Lesezeichen sofort in Webinterface
kommen ?
Aber wenn's denn unbedingt sein muß: http://<ip-addresse>:<port>/?p=<password>&w=password
"p=" ist der Parameter, der das Passwort enthalten muß; "w=" ist der Parameter, der dem Web-Interface sagt, was es damit tun soll (in diesem Fall: "Dies ist ein Passwort, da will sich jemand einloggen").
Das kriegt man übrigens heraus, indem man sich den HTML-Quelltext der Schablonen-Datei ansieht, dort die Formular-Methode von POST auf GET umstellt und dann in der "Location:"-Zeile des Browsers den aus der Login-Anforderung erzeugten URL abliest. (Den könntest Du dann auch gleich bookmarken...)
Ich überlege gerade, ob ich als Feature-Request stellen soll, diese potentielle Sicherheitslücke zu stopfen, indem eMule nur noch POST-Requests akzeptiert...
Hmm hab gar nicht gewusst das das Passwort Klar-Text übertragen wird. Gabs da nicht die Möglichkeit mit MD5-Authentifizierung (ist dann meistens der Fall wenn vom Browser dieses Fenster zur Eingabe von Login und PW auftaucht)?
QUOTE(ShadowOTD @ Oct 12 2005, 06:51 PM)
Gabs da nicht die Möglichkeit mit MD5-Authentifizierung (ist dann meistens der Fall wenn vom Browser dieses Fenster zur Eingabe von Login und PW auftaucht)?
Nicht "meistens", sondern "nur". Was Du willst, das ist HTTP Server Authentication (und zwar dann nicht "Basic", sondern "Digest", was beispielsweise Netscape 4 noch nicht unterstützte), so daß die Credentials in Form von separaten HTTP-Headern übertragen werden und nicht im URL (wo sie beispielsweise in Logfiles beliebiger Proxy-Server der Provider landen können...). Ja, Du hast durchaus recht - das wäre sicherer. Aber eMule macht die Billiglösung über den URL, also unverschlüsselt.
Genau das meinte ich (hab mich schon länger nicht damit beschäftigt...)
(hab mich schon länger nicht damit beschäftigt...)
QUOTE(Devil Doll @ Oct 11 2005, 09:46 PM)
Ich überlege gerade, ob ich als Feature-Request stellen soll, diese potentielle Sicherheitslücke zu stopfen, indem eMule nur noch POST-Requests akzeptiert...
Erledigt: http://forum.emule-project.net/index.php?showtopic=90277
Danke. Wäre nicht schlecht wenn das in der nächsten Version mit dabei wäre.
verstehe ich das richtig, du kreierst erst selbst die "sicherheitslücke" indem du von get auf post umstellst
und willst sie dann wieder loswerden?
und willst sie dann wieder loswerden?
QUOTE(schmu @ Oct 13 2005, 11:42 PM)
verstehe ich das richtig, du kreierst erst selbst die "sicherheitslücke" indem du von get auf post umstellst und willst sie dann wieder loswerden?
Ich will verhindern, daß ein Ahnungsloser sie kreieren kann. HTML editieren können mehr Leute als C++-Applikationen compilieren.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.