Passwort mit Sonderzeichen im Webserver funktioniert nicht

[Oskar77]

Hallo,

Ich habe seit langen eine Passwort in meinen Webserver mit einen Sonderzeichen, z. B. ein Ausrufezeichen.
Versuche ich mich mit den Anmeldedialog mit "Admin" anzumelden erhalte ich immer den Fehler: "Kein Zugriff".

Seltsamerweise funktioniert das Anmelden am Webserver ohne Probleme, wenn man das Passwort in der URL mit übergibt. Aus diesem Grund ist es mir wahrscheinlich auch noch nicht aufgefallen, da ich es dort hinterlegt habe.
Die Profilux App funktioniert auch ohne Probleme.

Mache ich da was falsch?
Kann das jemand auch so nachvollziehen?

VG,
Oskar77

[Gunther]

Vermutlich wird das Passwort durch einen URL-Decoder gejagt - Dein Ausrufezeichen wäre dabei aber ein schlechtes Beispiel, denn das wird nicht umcodiert.

Aus einstellungen Sonderzeichen werden dann entsprechende Codewerte. Aus "Test!?ß" wird "Test!%3F%C3%9F" wobei das Ausrufezeichen unverändert bleibt, aus dem Fragezeichen "%3F" und aus dem scharfen ß ein "%3C%9F" wird.

Du kannst es selbst ausprobieren: http://url-encoder.de/

Aus Sicherheitsgründen würde ich aber nicht das komplette Passwort eingeben sondern nur die Sonderzeichen und es selbst zusammenbasteln.

[Oskar77]

Nein kein Umkodierproblem, über die URL funktioniert es seltsamerweise ja.

Über die Profilux Webseite funktioniert es nicht, wenn man den Benutzer und das Passwort in die beiden dafür vorgesehenen Felder eingibt und das Passwort ein Ausrufezeichen hat.

[Gunther]

Nein kein Umkodierproblem, über die URL funktioniert es seltsamerweise ja.

Und wie werden URLs übermittelt? Sie werden vor der Übermittlung automatisch encodiert ......

[Oskar77]

Verstehe ich nicht ganz, was die URL damit zu tun hat?
Ich gebe die URL: http://192.168.192.225 ein
Es geht mir doch um die beiden Eingabefelder beim Login Dialog der Webseite.

Ich habe jetzt mal den Browser Cache vom Internet Explorer testweise gelöscht.
Jetzt bekomme ich nicht mehr die Profilux Webseite mit "Zugriff verweigert", sondern bleibe nun immer bei der Benutzer/Passwort Abfrage stehen.
Aber das Passwort mit Ausrufezeichen geht auf der Login-Webseite immer noch nicht.
Wenn ich aber meine Bookmark URL http://192.168.192.225/?name=Admin&pass=<Passwort> verwende geht es.

[Gunther]

Verstehe ich nicht ganz, was die URL damit zu tun hat?

Du gibst zwar "http://192.168.192.225/?name=Admin&pass=Test!?ß" in die Adresszeile ein, übermittelt wird aber "http://192.168.192.225/?name=Admin&pass=Test!%3F%C3%9F" weil URLs automatisch encodiert werden.

[Oskar77]

ok, verstanden.
Aber das Ausrufezeichen bleibt doch uncodiert?
Deshalb geht es ja über die URL Eingabe.
Ich würde es ja verstehen, wenn die URL nicht geht und nur der Webseiten-Dialog.
Aber es geht ja eben die Webseiten Dialogeingabe nicht! Das ist das seltsame.
Kann das nicht an der HTML Dialogeingabe liegen? Wenn das Passwort sonst überall funktioniert? Ich bin ja kein Experte für HTML Programmierung.

[DasNets]

Hallo Oskar,

hier scheint im PL-Webserver noch ein kleiner Bug zu sein.

Die Ursache zu dem Problem ist wie folgt:
Wenn du die Parameter per URL anhängst (http://192.168.192.225/?name=Admin&pass=Test!?ß) werden Sie in einem sogenannten GET-Verfahren übertragen und somit auch Codiert weitergegeben.

Tippst du allerdings die Daten in eine Maske ein, dann werden die übe das POST-Verfahren übertragen und bleiben somit uncodiert.

In der Datenbank des PL ist allerdings ein codierter Wert hinterlegt. Dass diese beiden nicht zusammenpassen ist somit klar.

PS: Manche Sonderzeichen werden auch noch gesondert codiert. Zzgl. nehme ich an, dass GHL bestimmt noch eine zusätzliche Verschlüsselungstechnik (z.B. md5) anwendet um Passwortdiebstahl im Profilux auszuschließen. Das macht das ganze dann nochmal komplizierter - Zumindest für den Leien der Materie.