scid: Wert dauerhaft speichern, aber ohne Offenlegung im Http-Header

Beitrag lesen

SELF-Forum

Wert dauerhaft speichern, aber ohne Offenlegung im Http-Header

scid
Informationen zu den Bewertungsregeln

Moin!

Welches Szenario schwebt dir denn vor, was du "absichern" willst?

Md5-Abdrücke der Kennwörter beim Server hinterlegt. Server sendet zufälligen Schlüssel und speichert diesen.
Bei Anmeldung erstellt Client Md5 des Kennworts, speichert diesen intern. Md5 des Kennworts und zufälliger Schlüssel werden aneinandergefügt, davon Md5 erstellt und dieser versendet.
Server führt gleiche Prozedur durch und vergleicht Ergebnis.
...
Dein Szenario mal in Stichpunkten:
...

  • Client generiert $logpwd = MD5($pwd) + $zuffi

Nein, logpwd = md5( md5( pwd ) + zuffi )

  • Client sendet $logpwd
    ...

Der Mann in der Mitte kennt also sowohl die Generierungsvorschrift für $logpwd als auch den Zufallswert $zuffi.

Kann aber mit bekanntem "logpwd", "zuffi" und "logpwd = md5( md5( pwd ) + zuffi )" nicht auf "md5( pwd )" und schon gar nicht auf "pwd" schließen, oder ? Und damit eben nicht durch reine Beobachtung der Kommunikation selbst eine Anmeldung durchführen. Im Gegensatz zu den etablierten Methoden.

...

Der Angreifer kennt die Mechanismen und könnte Code einfügen, der a) das Klartextpasswort oder b) dessen eigentlich nur notwendigen MD5-Hash mitsendet, um dann Manipulationen durchzuführen und gegenüber dem Server zu autorisieren.

OK, in der Mitte mit direkter Möglichkeit zur Manipulation geht auf Basis von Http eins wohl immer : Auf eine passende Anfrage des Clients warten. Mit etwas antworten, das gleich wie das vom Nutzer Erwartete aussieht. Dann aber das Klartext-Kennwort versendet.
Und nachdem der Server bei diesem Vorgang noch nicht einmal involviert ist, kann hier logischerweise rein gar nichts entgegengesetzt werden.

... Das ist genau der Punkt: Wenn ein Angreifer tatsächlich die Kommunikation beobachten kann, wird es ihm in der Regel auch ein Leichtes sein, sie zu verändern. Geh' davon aus, dass das der Fall ist, alles andere würde kaum Sinn ergeben. Mann in der Mitte zu werden ist keine sehr leichte Sache - wer das schafft, kann auch manipulieren, wenn er will.

Wenn man das so sieht. Dann lohnt sich bei Verwendung von Http allerdings keine wie auch immer geartete Absicherung.
Meines Wissens sind allerdings die Beobachtung von übertragenen Daten einerseits und die Manipulation einer Socket-Verbindung plus Generierung ähnlicher Inhalte mit der Entwicklung eines veränderten Verhaltens andererseits bezüglich der Anforderung an den Agierenden zwei paar Stiefel. Und es könnte sich ja lohnen, die Hürde höher zu hängen ...

  • Sven Rautenberg

-  scid

Beitrag melden
Informationen zu den Bewertungsregeln
0 14

Wert dauerhaft speichern, aber ohne Offenlegung im Http-Header

scid
  • javascript
  1. 0

    Session-Mechanismus

    Felix Riesterer
    • programmiertechnik
    1. 0
      scid
      1. 0
        ChrisB
        1. 0
          scid
      2. 1
        Sven Rautenberg
  2. 0
    Sven Rautenberg
    1. 0
      scid
      1. 2
        Sven Rautenberg
        1. 0
          scid
          1. 1
            Klawischnigg
            1. 0
              scid
              1. 0
                Klawischnigg
          2. 1
            Sven Rautenberg