[PHP] HTTP authentication

Als je iets met POST verstuurd, wordt dat plain text (tenzij je SSL hebt) over het lijnte gestuurd in de body van je request als ik mij niet vergis.

Maar anyway, met beide methodes is het wachtwoord te sniffen.

Je moet wel bedenken dat er iig twee methoden van HTTP authenticatie zijn nl. Basic en Digest.

Met php kan je vrij makkelijk Basic http authenticatie doe mbv. headers die je stuurt. Dit is inpricie het zelfde als Basic authenticatie met Apache.

Apache kent daarnaast ook Digest authenticatie. Deze methode stuurt het wactwoord niet plaintext over de lijn, maar als md5 digest (hence de naam).

zie ook
http://httpd.apache.org/docs/howto/auth.html

Suepahfly schreef op donderdag 17 maart 2005 @ 15:21:
Als je iets met POST verstuurd, wordt dat plain text (tenzij je SSL hebt) over het lijnte gestuurd in de body van je request als ik mij niet vergis.

Maar anyway, met beide methodes is het wachtwoord te sniffen.

Je moet wel bedenken dat er iig twee methoden van HTTP authenticatie zijn nl. Basic en Digest.

Met php kan je vrij makkelijk Basic http authenticatie doe mbv. headers die je stuurt. Dit is inpricie het zelfde als Basic authenticatie met Apache.

Apache kent daarnaast ook Digest authenticatie. Deze methode stuurt het wactwoord niet plaintext over de lijn, maar als md5 digest (hence de naam).

zie ook
http://httpd.apache.org/docs/howto/auth.html

Die digest methode is qua "snif-gevoeligheid" niet beter dan basic. In beide gevallen kan een gesnifte string gebruikt worden om toegang te krijgen. Verschil is wel dat de sniffer bij digest niet het password in handen krijgt maar een digested password.

Digest is volgens deze RFC gebaseerd op challence responce. Wat het kraken van een gesniffed wachtwoord moeilijk maakt.

Het is dus niet simpel even de gesnifde hash naar de server sturen. Maar goed deze methode is natuurlijk ook niet 100% veilig.

Suepahfly schreef op donderdag 17 maart 2005 @ 20:55:
Digest is volgens deze RFC gebaseerd op challence responce. Wat het kraken van een gesniffed wachtwoord moeilijk maakt.

Het is dus niet simpel even de gesnifde hash naar de server sturen. Maar goed deze methode is natuurlijk ook niet 100% veilig.

Alleen de gesnifde hash terug sturen is niet genoeg, je zal ook de challenge terug moeten sturen maaar dat is niet zoveel moeite als je toch al aan het sniffen was. Mijn punt was dat het niet veiliger is dan cleartext password als het om "snif-gevoeligheid" gaat. Het enige voordeel is dat de sniffer het originele password niet in handen krijgt.

Digest Authentication offers no confidentiality protection beyond
protecting the actual password. All of the rest of the request and
response are available to an eavesdropper.

Digest Authentication offers only limited integrity protection for
the messages in either direction. If qop=auth-int mechanism is used,
those parts of the message used in the calculation of the WWW-
Authenticate and Authorization header field response directive values
(see section 3.2 above) are protected. Most header fields and their
values could be modified as a part of a man-in-the-middle attack.