HTTPS SSL Passwort bekannt, Hack-möglich ?
Hallo Leute,
hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support versandt. Hab heute erst eingesehen, dass dabei auch server.xml Datei mitversandt worden sind. In der server.xml ist der keypass enthalten, nun da ich mich mit Hacking wenig auskenne, ist die Frage:
Kann man, wenn man den keypass der SSL-Verschlüsslung 1.2TLS kennt, die Verbindungsaufbau zwischen Host und Client entschlüsseln ?
VG
decehakan
hab letztens wegen paar bugs für eine Applikation-Software, die über tomcat läuft, logs Datein an den Support versandt. Hab heute erst eingesehen, dass dabei auch server.xml Datei mitversandt worden sind. In der server.xml ist der keypass enthalten, nun da ich mich mit Hacking wenig auskenne, ist die Frage:
Kann man, wenn man den keypass der SSL-Verschlüsslung 1.2TLS kennt, die Verbindungsaufbau zwischen Host und Client entschlüsseln ?
VG
decehakan
Please also mark the comments that contributed to the solution of the article
Content-Key: 522754
Url: https://administrator.de/contentid/522754
Printed on: April 25, 2024 at 03:04 o'clock
7 Comments
Latest comment
Deiner Beschreibung nach, hast Du nur das JKS (Java Keystore) Passwort mitgeschickt. Der Privatekey liegt üblicherweise unverschlüsselt in dem JKS. Das Keystore Passwort wird nicht für die Verschlüsselung der SSL/TLS Verbindung verwendet , sondern nur für die Verschlüssung der Keys auf der Festplatte.
Daher ist das an sich nicht schlimm, da du entsprechend auch den Keystore als solchen benötigst um mit dem Passwort etwas anzufangen. Dennoch solltest Du das PW zu deinem JKS ändern und dich ggf. auch etwas mehr mit TLS und TLS in Verbindung mit Java beschäftigen.
Was @certifiedit.net mit "Puh das ist gefährlich" meint, ist denke ich nicht, dass du das PW mitgeschickt hast, sondern dass du die Zusammenhänge der SSL/TLS Konfiguration im Tomcat nicht verstanden hast, und damit eine Web-Applikation, schlimmstenfalls auch noch für Endkunden, betreibst.
Daher ist das an sich nicht schlimm, da du entsprechend auch den Keystore als solchen benötigst um mit dem Passwort etwas anzufangen. Dennoch solltest Du das PW zu deinem JKS ändern und dich ggf. auch etwas mehr mit TLS und TLS in Verbindung mit Java beschäftigen.
Was @certifiedit.net mit "Puh das ist gefährlich" meint, ist denke ich nicht, dass du das PW mitgeschickt hast, sondern dass du die Zusammenhänge der SSL/TLS Konfiguration im Tomcat nicht verstanden hast, und damit eine Web-Applikation, schlimmstenfalls auch noch für Endkunden, betreibst.