[PHP] HTTP authentication

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb een login script op mijn site dat gebruikt maakt van twee textfields waarbij eentje de login naam ingevuld moet worden en eentje het password <type=password> en dan via een POST action de gegevens doorstuurt...

Nu maken andere sites ook gebruik van HTTP authentication, waardoor door middel van het sturen van een header het standaard login schermpje pop-upt....

Mijn vraag is nu wat het verschil is tussen deze twee?
Is het login schermpje veiliger dan het versturen van de textfields dmv een post?
Beiden worden toch via een header verstuurd?

Alvast bedankt...

Acties:
  • 0 Henk 'm!

  • Suepahfly
  • Registratie: Juni 2001
  • Laatst online: 17-09 17:05
Als je iets met POST verstuurd, wordt dat plain text (tenzij je SSL hebt) over het lijnte gestuurd in de body van je request als ik mij niet vergis.

Maar anyway, met beide methodes is het wachtwoord te sniffen.

Je moet wel bedenken dat er iig twee methoden van HTTP authenticatie zijn nl. Basic en Digest.

Met php kan je vrij makkelijk Basic http authenticatie doe mbv. headers die je stuurt. Dit is inpricie het zelfde als Basic authenticatie met Apache.

Apache kent daarnaast ook Digest authenticatie. Deze methode stuurt het wactwoord niet plaintext over de lijn, maar als md5 digest (hence de naam).

zie ook
http://httpd.apache.org/docs/howto/auth.html

Acties:
  • 0 Henk 'm!

  • Pastinakel
  • Registratie: December 2000
  • Laatst online: 19-09 00:02

Pastinakel

Zwammen en kwazoedels

Suepahfly schreef op donderdag 17 maart 2005 @ 15:21:
Als je iets met POST verstuurd, wordt dat plain text (tenzij je SSL hebt) over het lijnte gestuurd in de body van je request als ik mij niet vergis.

Maar anyway, met beide methodes is het wachtwoord te sniffen.

Je moet wel bedenken dat er iig twee methoden van HTTP authenticatie zijn nl. Basic en Digest.

Met php kan je vrij makkelijk Basic http authenticatie doe mbv. headers die je stuurt. Dit is inpricie het zelfde als Basic authenticatie met Apache.

Apache kent daarnaast ook Digest authenticatie. Deze methode stuurt het wactwoord niet plaintext over de lijn, maar als md5 digest (hence de naam).

zie ook
http://httpd.apache.org/docs/howto/auth.html
Die digest methode is qua "snif-gevoeligheid" niet beter dan basic. In beide gevallen kan een gesnifte string gebruikt worden om toegang te krijgen. Verschil is wel dat de sniffer bij digest niet het password in handen krijgt maar een digested password.

Ik kan je niet helpen. De frutsel is warrig en niet knopig. Bovendien heb ik maar één kant | Scrobblernakel


Acties:
  • 0 Henk 'm!

  • Suepahfly
  • Registratie: Juni 2001
  • Laatst online: 17-09 17:05
Digest is volgens deze RFC gebaseerd op challence responce. Wat het kraken van een gesniffed wachtwoord moeilijk maakt.

Het is dus niet simpel even de gesnifde hash naar de server sturen. Maar goed deze methode is natuurlijk ook niet 100% veilig.

Acties:
  • 0 Henk 'm!

  • Pastinakel
  • Registratie: December 2000
  • Laatst online: 19-09 00:02

Pastinakel

Zwammen en kwazoedels

Suepahfly schreef op donderdag 17 maart 2005 @ 20:55:
Digest is volgens deze RFC gebaseerd op challence responce. Wat het kraken van een gesniffed wachtwoord moeilijk maakt.

Het is dus niet simpel even de gesnifde hash naar de server sturen. Maar goed deze methode is natuurlijk ook niet 100% veilig.
Alleen de gesnifde hash terug sturen is niet genoeg, je zal ook de challenge terug moeten sturen maaar dat is niet zoveel moeite als je toch al aan het sniffen was. Mijn punt was dat het niet veiliger is dan cleartext password als het om "snif-gevoeligheid" gaat. Het enige voordeel is dat de sniffer het originele password niet in handen krijgt.
Digest Authentication offers no confidentiality protection beyond
protecting the actual password. All of the rest of the request and
response are available to an eavesdropper.

Digest Authentication offers only limited integrity protection for
the messages in either direction. If qop=auth-int mechanism is used,
those parts of the message used in the calculation of the WWW-
Authenticate and Authorization header field response directive values
(see section 3.2 above) are protected. Most header fields and their
values could be modified as a part of a man-in-the-middle attack.

Ik kan je niet helpen. De frutsel is warrig en niet knopig. Bovendien heb ik maar één kant | Scrobblernakel