Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Hallo.
ist das eine Standardfunktion bei Websites, die eine Useranmeldung vorsehen?
Konkret würde ich mich gerne bei lichess.org mit einem link so aehnlich wie
lichess.org/login/user:xyz/pw:1234
anmelden. Weisst jemand wie das geht bzw. die korrekte Syntax?
Ich hoffe nicht, dann steht dein Username und Passwort ja im Klartext im Link und wird auch so übermittelt.
Was geht, ist aber meist angemeldet bleiben durch Cookie.
Und für alles andere gibt es Passwort Manager, die das Passwort ausfüllen.
Ich denke unter HTTPS ist auch die URL verschlüsselt, einzig der Hostname ist unverschlüsselt in der Client-Hello Nachricht. Wenn man HTTPS nicht vertraut dann sollte man die Finger vom Internet lassen.
Es ist zugegebenermaßen nicht schön aber zur Not kann man das schon machen, Voraussetzung ist aber HTTPS.
Hmm, nein das ist keine Standardfunktion aus gutem Grund.
Wie wäre es mit einem Passwort-Manager, der die Anmeldemaske automatisch ausfüllt?
Lg
Edit:
Helge01 schrieb:
Ich denke unter HTTPS ist auch die URL verschlüsselt, einzig der Hostname ist unverschlüsselt in der Client-Hello Nachricht. Wenn man HTTPS nicht vertraut dann sollte man die Finger vom Internet lassen.
Nicht in deiner Browser-History (heißt: Programme & Nutzer am PC haben Zugriff auf dein Passwort)
Die URL wird normalerweise nicht als "geheim" angesehen, heißt auf dem Server, der die Webseite ausliefert, wird z.B. gerne die URL geloggt, Da ständen dann auch dein PW drin.
Wenn du auf einen Link klickst, wird die vorherige URL oft mitgeschickt (Referrer). Heißt im richtigen Moment hätte auch eine andere Seite Zugriff auf dein Passwort.
Also: Ja, die URL ist verschlüsselt, aber die Systeme, die auf die unverschlüsselte URL Zugriff haben, behandeln sie normalerweise nicht als geheim!
Anmeldung sollte immer "interaktiv" und bestenfalls mit MFA erfolgen. Für automatische Tätigkeiten denke ich, dass aus dieser Anmeldung entstehende PATs (Person Access Tokens) oder SessionIDs verwendet werden sollten.
Leute, das ist ein UNWICHTIGER Account auf einer Schachseite!
Ich weiss das sollte irgendwie mit Cookies gehen, aber anmelden mit angekreuztem "angemeldet bleiben" hat nicht zum gewünschten Ergebnis geführt. Also gibt es einen einfachen Weg ohne Aufwand? Sicherheit spielt KEINE Rolle. :-)
Ja, der einfache Weg ist einen Passwortmanager zu nutzen, der auf der Seite die Anmeldemaske selbstständig ausfüllt. Die Funktion ist doch mittlerweile bei jedem Browser integriert...
Es kann sein, dass du abgemeldet wurdest, weil die Cookies gelöscht waren, es kann aber auch sein, dass du zu lange inaktiv warst. Wenn die Seite dich abmeldet, bist du abgemeldet, da kann kein Cookie was dran ändern.
erweiterter Trackingschutz oder ein addblocker oder sonst etwas blockiert deine Cockies und deine Season wird nicht gespeichert
Such erstmal da weiter.
Es hängt ja rein von dem Auth-System der Website ab.
Wie vorher geschrieben gibts "http basic auth", da kann man das so ungefähr so machen, wie von dir beschrieben (
Code:
protocol://username:password@domain/resource
ist da die Syntax).
Aber das macht lichess.org nicht so. Ein simpler Link-Aufruf (GET-Request) geht idR nicht, bei moderneren Auth-System wie OAuth, Cookie-based auth etc.
Dafür muss man idR vorher ein Form ausfüllen, und nachher ein "Secret" via nem bestimmten Header mitschicken - "Cookie" oder "Authorization" zumeist.
Die URL wird normalerweise nicht als "geheim" angesehen, heißt auf dem Server, der die Webseite ausliefert, wird z.B. gerne die URL geloggt, Da ständen dann auch dein PW drin.
Man kann das geheime auch als Fragment in die URL den einfügen. Das wird dann nicht direkt an den Webserver übermittelt, sondern könnte dann separat über andere APIs übermittelt werden.
Ist eine häufig genutzte Praxis für temporäre E2EE geschützte Sitzungen um den privaten Schlüssel einfach zu teilen.
Du könntest die Development-Tools im Browser nutzen um zu sehen, wie der Anmeldeprozess bei einer gewünschten Seite funktioniert und diese in einem Script nachbauen.
Hab ich z.B. hier so gemacht, zusammen mit dem Aufruf der ausgeführt wird wenn die Signatur gespeichert wird, ändert sich scriptgesteuert meine Signatur alle 20 Minuten. Wie sinnvoll das ist - naja, aber war ein nettes kleines Bastelprojekt
