hi,

sagt mal, wird der inhalt (also data) in http-paketen gehashed oder klartext übertragen. Also ich hab mal die authentifizierung abgefangen (über http nicht über https) und das war nicht klartext. Wie kommt man an den Klartext heran, wisst ihr das?


danke

joey

Hi,

Also wenn ich auf der Shell HTTP "spreche" bekomme ich die Daten im Klartext. Vielleicht können die Browser die Daten auch encoded anfordern, das weiss ich nicht.

Ciao, Bernie

stichwort accept-encoding gzip....

matze

ps: ethereal sollte das im klartext anzeigen können...

The Basic authentication scheme transmits passwords across the Internet unencrypted, so they could be intercepted. The Digest method, see below, is intended to address this issue.

The Digest Authentication scheme will make the sending of passwords across the Internet more secure. It effectively encrypts the password before it is sent such that the server can decrypt it. It works exactly the same as Basic authentication as far as the end-user and server administrator is concerned. The use of Digest authentication will depend on whether browser authors write it into their products. Apache can already do Digest authentication, when compiled with the mod_digest module (supplied with the Apache distribution).
Ich kenne den Digest-Algorithmus nicht und habe jetzt gerade keine Lust rfc2617 durchzulesen, aber ich vermute folgendes:
Normalerweise wird vom Server eine zufällige Zahl an den Client geschickt. Dieser Vermischt diese mit dem Passwort und lässt einen Hash-Algoritmus drüber laufen. Den Hash-Wert schickt er an den Server. Dieser hat das gleiche zu tun und kann die resultierenden Hash-Werte vergleichen.Damit kann ein Angreifer dass Passwort nur mit einer Brute-Force-Attacke auf den Hash-Wert herausfinden, da er nur die zufällige Zahl und den Hash-Wert kennt.

Der Rest der HTTP-Meldung bleibt aber unverschlüsselt.

Gruss, Andy

ups, thema verfehlt :eek: