Archiv verlassen und diese Seite im Standarddesign anzeigen : http pakete
joey.brunner
07.10.02, 09:35
hi,
sagt mal, wird der inhalt (also data) in http-paketen gehashed oder klartext übertragen. Also ich hab mal die authentifizierung abgefangen (über http nicht über https) und das war nicht klartext. Wie kommt man an den Klartext heran, wisst ihr das?
danke
joey
Hi,
Also wenn ich auf der Shell HTTP "spreche" bekomme ich die Daten im Klartext. Vielleicht können die Browser die Daten auch encoded anfordern, das weiss ich nicht.
Ciao, Bernie
Matzetronic
13.10.02, 01:24
stichwort accept-encoding gzip....
matze
ps: ethereal sollte das im klartext anzeigen können...
The Basic authentication scheme transmits passwords across the Internet unencrypted, so they could be intercepted. The Digest method, see below, is intended to address this issue.
The Digest Authentication scheme will make the sending of passwords across the Internet more secure. It effectively encrypts the password before it is sent such that the server can decrypt it. It works exactly the same as Basic authentication as far as the end-user and server administrator is concerned. The use of Digest authentication will depend on whether browser authors write it into their products. Apache can already do Digest authentication, when compiled with the mod_digest module (supplied with the Apache distribution).
Ich kenne den Digest-Algorithmus nicht und habe jetzt gerade keine Lust rfc2617 durchzulesen, aber ich vermute folgendes:
Normalerweise wird vom Server eine zufällige Zahl an den Client geschickt. Dieser Vermischt diese mit dem Passwort und lässt einen Hash-Algoritmus drüber laufen. Den Hash-Wert schickt er an den Server. Dieser hat das gleiche zu tun und kann die resultierenden Hash-Werte vergleichen.Damit kann ein Angreifer dass Passwort nur mit einer Brute-Force-Attacke auf den Hash-Wert herausfinden, da er nur die zufällige Zahl und den Hash-Wert kennt.
Der Rest der HTTP-Meldung bleibt aber unverschlüsselt.
Gruss, Andy
Matzetronic
25.10.02, 19:35
ups, thema verfehlt :eek:
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.