Bewertung der Sicherheit einer Hash-URL oder Alternativen - Seite 2

nikosch · 13.07.2009, 15:43

Bleibt die Kernfrage: Gibts Digest HTTP Authentication über URL?

erc · 13.07.2009, 16:28

Zitat:

Zitat von nikosch

Hast Du da Erfahrung? Wie läuft das? Sind die so tief im System (Windoof) dass die auch für Nicht-Standardprogramme funktionieren? Lqüft das übers Verbindungsprotokoll? Und wie sieht das Server-seitig aus (Sorry für die vielen Dödelfragen. Wenn Du keine Erfahrung damit hast, forsche ich selber mal.)

Ein bissel... das läuft genauso wie HTTPS immer läuft, nur das der Server sagt ich will ein Clientzertifikat sehen. Und mit fremden Programmen kannst du nur testen. Wenn die Programme nicht die Windows API nehmen (keine ahnung wie, wo, was) klappt das nicht. Z.B. Firefox und Opera verwenden auch nicht die Windows Zertifikatverwaltung.

Zitat:

Zitat von Manko10

Ferner kannst du bei einer HTTP-Authentifizierung statt des Typs Basic eine Digest Authentication benutzen.

Das kann man sich aber sparen wenn man HTTPS verwendet.

Zitat:

Zitat von nikosch

Bleibt die Kernfrage: Gibts Digest HTTP Authentication über URL?

Du meinst Example Web Page Testen... sollte aber gehen.

nikosch · 13.07.2009, 16:31

Zitat:

Du meinst Example Web Page Testen... sollte aber gehen.

Naja, das ist ja nur Basic Auth, oder? Dass das geht habe ich oben ja geschrieben.

Zitat:

Das kann man sich aber sparen wenn man HTTPS verwendet.

Wieso? HTTPS betrifft doch den Inhalt der Übermittlung, Basic Auth/Digest HTTP Auth überträgt eine Header-Authenfikation. Also die Berechtigung, den Inhalt anzufordnern. Das ist doch nicht dasselbe?

erc · 13.07.2009, 16:49

Zitat:

Zitat von nikosch

Naja, das ist ja nur Basic Auth, oder? Dass das geht habe ich oben ja geschrieben.

Nein das ist eigentlich gar nix. Eine URL in Form von h_ttp://dsfd:sdfd@example.com gibts nicht offiziell. Der Browser nimmt die URL auseinander und baut damit ein Authorization Header zusammen. Aber beim nochmaligen überlegen könnte es doch Probleme machen. Der Authorization Header wird ja in dem Fall eigentlich blind übertragen, was bei Digest nicht funktioniert da man vom Server ein salt braucht. Wie gesagt testen...

Zitat:

Zitat von nikosch

Wieso? HTTPS betrifft doch den Inhalt der Übermittlung, Basic Auth/Digest HTTP Auth überträgt eine Header-Authenfikation. Also die Berechtigung, den Inhalt anzufordnern. Das ist doch nicht dasselbe?

Nein die HTTPS Verbindung wird vor dem eigentlichen Request aufgebaut. Der Request wird komplett verschlüsselt übertragen. Daher ist es auch nicht so einfach möglich mehrere SSL Zertifikate mit einer IP zu nutzen.

nikosch · 13.07.2009, 16:52

Okay. Bleibt dann aber noch das Problem des social engineering, weil solche URLs sowieso in irgendwelchen txt-Dateien für c&p landen. Ein Klartextpasswort hat beim Blick über die Schulter echte Nachteile..

Manko10 · 13.07.2009, 18:56

Jap, auch die Authentifizierung läuft per SSL ab, wenn der Krams über HTTPS läuft.
Die Digest-Authentication dachte ich eher für die Lösung des von nikosch angesprochenen Social-Engineering-Problems, aber mir fällt da gerade auf, dass dann ja auch der Hash reichte, der dann praktisch als Passwort bzw. »Kollision« zum eigentlichen Passwort funktionierte, wenn er nicht gesalzen wird.
Einzige Möglichkeit bleibt also HTTP-Authentifizierung (Basic oder Digest) via SSL.
Gegen die Sicherheitslücke User kannst du allerdings nach wie vor wenig tun außer Erziehung mit großem Zeigefinger.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
[Erledigt] Sessions und Sicherheit	Wolla	PHP Tipps 2008	16	01.08.2008 19:33
aus SELECT Abfragen Hash bauen	Reen_Sc	Datenbanken	9	27.06.2008 18:48
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
Sicherer Passwort Hash	tomtaz	PHP-Fortgeschrittene	14	17.03.2008 18:13
Name von Hash Feld auslesen	Igäl	PHP Tipps 2007	9	15.08.2007 15:06
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
[Geklärt] MD5 Hash nochmals MD5 hash´n?		PHP Tipps 2005-2	44	29.10.2005 14:46
GET Übergabe durch vorherigen md5 hash checken		PHP Tipps 2005-2	4	27.10.2005 15:55
Sicherheit aufm Webserver ?	Cyberbob_at_tot	Off-Topic Diskussionen	7	17.10.2005 16:22
perl hash aus mysql blob mit php lesen		PHP-Fortgeschrittene	6	07.07.2005 17:36
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
2 Werte mit gleichem MD5 Hash	webbi	PHP Tipps 2005	4	09.03.2005 12:46
Doppelte Werte im Array löschen mittels hash		PHP Tipps 2004-2	1	09.12.2004 11:43

13.07.2009, 15:43
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Bleibt die Kernfrage: Gibts Digest HTTP Authentication über URL? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

13.07.2009, 16:52
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Okay. Bleibt dann aber noch das Problem des social engineering, weil solche URLs sowieso in irgendwelchen txt-Dateien für c&p landen. Ein Klartextpasswort hat beim Blick über die Schulter echte Nachteile.. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

13.07.2009, 18:56
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Jap, auch die Authentifizierung läuft per SSL ab, wenn der Krams über HTTPS läuft. Die Digest-Authentication dachte ich eher für die Lösung des von nikosch angesprochenen Social-Engineering-Problems, aber mir fällt da gerade auf, dass dann ja auch der Hash reichte, der dann praktisch als Passwort bzw. »Kollision« zum eigentlichen Passwort funktionierte, wenn er nicht gesalzen wird. Einzige Möglichkeit bleibt also HTTP-Authentifizierung (Basic oder Digest) via SSL. Gegen die Sicherheitslücke User kannst du allerdings nach wie vor wenig tun außer Erziehung mit großem Zeigefinger. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”