HTTP Digest Authentication在实际应用中的问题
来源:互联网 发布:网络热议话题 编辑:程序博客网 时间:2024/05/20 02:28
作者:老王 来源:http://huoding.com/
Basic认证实际上是明文传递密码,所以RFC2617里定义了Digest认证以取代它,其计算方法如下:
其中HA1计算方法为:
如果qop选项的值为auth,那么HA2散列计算方法为:
如果qop选项的值为auth-int,那么HA2散列计算方法为:
密码的问题:
当客户端请求到达的时候,服务器程序为了验证其response是否合法,必须按照上面的计算方法重新构建response,那么为了能算出HA1散列,必须满足以下两个条件之一:要么在数据库里保存原始密码,要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。
实际应用里,密码一般都是保存其md5散列,想得周到点的,会加一个salt再md5。首先,保存原始密码是不可想象的,一旦数据库出问题,密码直接处于裸奔状态,问题就严重了。其次,预先保存计算好的HA1也是很难的,除非是新应用,否则老系统估计不太可能会那么有前瞻性去保存一个HA1。
攻击的问题:
在Basic认证里,一旦请求被黑客嗅探到,那么密码就暴露了,在Digest认证里,虽然黑客不可能直接嗅探到密码,但是他可以利用拿到的请求头信息构造一个看似合法的请求,或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击,服务器必须记录哪些nonce已经被用过了。
Basic认证实际上是明文传递密码,所以RFC2617里定义了Digest认证以取代它,其计算方法如下:
其中HA1计算方法为:
如果qop选项的值为auth,那么HA2散列计算方法为:
如果qop选项的值为auth-int,那么HA2散列计算方法为:
密码的问题:
当客户端请求到达的时候,服务器程序为了验证其response是否合法,必须按照上面的计算方法重新构建response,那么为了能算出HA1散列,必须满足以下两个条件之一:要么在数据库里保存原始密码,要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。
实际应用里,密码一般都是保存其md5散列,想得周到点的,会加一个salt再md5。首先,保存原始密码是不可想象的,一旦数据库出问题,密码直接处于裸奔状态,问题就严重了。其次,预先保存计算好的HA1也是很难的,除非是新应用,否则老系统估计不太可能会那么有前瞻性去保存一个HA1。
攻击的问题:
在Basic认证里,一旦请求被黑客嗅探到,那么密码就暴露了,在Digest认证里,虽然黑客不可能直接嗅探到密码,但是他可以利用拿到的请求头信息构造一个看似合法的请求,或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击,服务器必须记录哪些nonce已经被用过了。
在一个繁忙的网站里,如果每次请求的nonce值都要记录下来的话,那用不了多久,数据量就会达到一个天文数字,这无疑增加了服务器的负担。相对而言,比较实际的做法是仅仅记录一段时间内的nonce值,比如一个小时内的nonce值,但黑客同样也可以一个小时候后再发起攻击,所以还得把nonce的产生和时间戳结合起来才行,屏蔽过期的nonce,或者把nonce和ip结合起来,不过问题的解决方案也一点一点变得复杂了。
参考文章
http://en.wikipedia.org/wiki/Digest_access_authentication
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest authentication
- HTTP之Digest authentication
- HTTP Digest authentication .
- HTTP Digest authentication
- RFC2617-HTTP Authentication: Basic and Digest Access Authentication
- Digest authentication
- Digest authentication
- Digest authentication
- Matlab与OpenCV在实际应用中的选择问题
- Matlab与OpenCV在实际应用中的选择问题
- MySQL在实际场景应用中的问题和思路
- Regsvr32在实际中的应用
- HTTP认证模式:Basic and Digest Access Authentication
- NHibernate在实际项目中的应用
- 设计模式在实际项目中的应用
- vnc ssh 登陆服务器
- Struts2_Struts2标签使用(转)
- DWZ(JUI) 教程 dwz.frag.xml 相关问题
- Linux 内核参数 和 Oracle相关参数调整
- hdu 3460 字典树
- HTTP Digest Authentication在实际应用中的问题
- 阿里巴巴公司DBA笔试题 .
- 使用CSockets进行文件传送
- Trees and Other Hierarchies in MySQL
- String、StringBuffer与StringBuilder之间区别
- Myeclipse 8.5 配置SVN
- [C++]字节对齐与结构体大小
- UNIX 高手的 20 个习惯 .
- 如何从Internet上有效而稳定地下载文件