Sichere Google-Authentifizierung
https://stackoverflow.com/questions/2393604
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich brauche eine Abfrage nach einem der Google-Diensten zu machen. Ich lese diese Antwort: herunterladen csv von Google Einsicht für die Suche
Das Kopieren und Einfügen Code aus dieser Frage lautet:
using (var client = new WebClient())
{
// TODO: put your real email and password in the request string
var response = client.DownloadString("https://www.google.com/accounts/ClientLogin?accountType=GOOGLE&Email=youraccount@gmail.com&Passwd=secret&service=trendspro&source=test-test-v1");
// The SID is the first line in the response
var sid = response.Split('\n')[0];
client.Headers.Add("Cookie", sid);
byte[] csv = client.DownloadData("http://www.google.com/insights/search/overviewReport?q=test&cmpt=q&content=1&export=2");
// TODO: do something with the downloaded csv file:
Console.WriteLine(Encoding.UTF8.GetString(csv));
File.WriteAllBytes("report.csv", csv);
}
und ich möchte wissen, ob das Passwort in der Zeichenfolge zu senden sicher ist oder es gepackt werden?
Ist dies nicht gesichert ist, wie es getan werden sollte?
Lösung
Da es https (nicht Plain-HTTP) sollte es etwa so sicher wie die meisten Sonstigem jemals auf dem Netz sein. Alle Daten, einschließlich der URL, Reisen auf einem verschlüsselten Kanal einmal die zugrunde liegenden TLS-Verbindung etablierte.
Andere Tipps
Dies ist einer dieser „gute Nachrichten, schlechte Nachrichten“ Situationen.
Die gute Nachricht: Das Passwort kann nicht von einem Lauscher ergriffen werden (weil es über HTTPS gesendet wird: verschlüsselt).
Schlechte Nachrichten: der Session-Cookie durch einen Lauscher gepackt werden kann (weil es über HTTP gesendet wird: nicht verschlüsselten). Wie Firesheep unter Beweis gestellt hat, ist weil jemand erhalten Sie Zugriff auf Ihr Google-Session-Cookie gefährlich, da es den Angreifer Zugriff auf Ihre E-Mails und andere Inhalte auf Google gespeichert gibt.
Wenn Sie die http URL zu einer https URL ändern können, das wäre sicherer.
