HTTP Digest Authentication在实际应用中的问题
来源:互联网 发布:手扶电梯内部 知乎 编辑:程序博客网 时间:2024/05/16 07:42
Basic认证实际上是明文传递密码,所以RFC2617里定义了Digest认证以取代它,其计算方法如下:
其中HA1计算方法为:
如果qop选项的值为auth,那么HA2散列计算方法为:
如果qop选项的值为auth-int,那么HA2散列计算方法为:
密码的问题:
当客户端请求到达的时候,服务器程序为了验证其response是否合法,必须按照上面的计算方法重新构建response,那么为了能算出HA1散列,必须满足以下两个条件之一:要么在数据库里保存原始密码,要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。
实际应用里,密码一般都是保存其md5散列,想得周到点的,会加一个salt再md5。首先,保存原始密码是不可想象的,一旦数据库出问题,密码直接处于裸奔状态,问题就严重了。其次,预先保存计算好的HA1也是很难的,除非是新应用,否则老系统估计不太可能会那么有前瞻性去保存一个HA1。
攻击的问题:
在Basic认证里,一旦请求被黑客嗅探到,那么密码就暴露了,在Digest认证里,虽然黑客不可能直接嗅探到密码,但是他可以利用拿到的请求头信息构造一个看似合法的请求,或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击,服务器必须记录哪些nonce已经被用过了。
在一个繁忙的网站里,如果每次请求的nonce值都要记录下来的话,那用不了多久,数据量就会达到一个天文数字,这无疑增加了服务器的负担。相对而言,比较实际的做法是仅仅记录一段时间内的nonce值,比如一个小时内的nonce值,但黑客同样也可以一个小时候后再发起攻击,所以还得把nonce的产生和时间戳结合起来才行,屏蔽过期的nonce,或者把nonce和ip结合起来,不过问题的解决方案也一点一点变得复杂了。
其中HA1计算方法为:
如果qop选项的值为auth,那么HA2散列计算方法为:
如果qop选项的值为auth-int,那么HA2散列计算方法为:
密码的问题:
当客户端请求到达的时候,服务器程序为了验证其response是否合法,必须按照上面的计算方法重新构建response,那么为了能算出HA1散列,必须满足以下两个条件之一:要么在数据库里保存原始密码,要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。
实际应用里,密码一般都是保存其md5散列,想得周到点的,会加一个salt再md5。首先,保存原始密码是不可想象的,一旦数据库出问题,密码直接处于裸奔状态,问题就严重了。其次,预先保存计算好的HA1也是很难的,除非是新应用,否则老系统估计不太可能会那么有前瞻性去保存一个HA1。
攻击的问题:
在Basic认证里,一旦请求被黑客嗅探到,那么密码就暴露了,在Digest认证里,虽然黑客不可能直接嗅探到密码,但是他可以利用拿到的请求头信息构造一个看似合法的请求,或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击,服务器必须记录哪些nonce已经被用过了。
在一个繁忙的网站里,如果每次请求的nonce值都要记录下来的话,那用不了多久,数据量就会达到一个天文数字,这无疑增加了服务器的负担。相对而言,比较实际的做法是仅仅记录一段时间内的nonce值,比如一个小时内的nonce值,但黑客同样也可以一个小时候后再发起攻击,所以还得把nonce的产生和时间戳结合起来才行,屏蔽过期的nonce,或者把nonce和ip结合起来,不过问题的解决方案也一点一点变得复杂了。
来源:http://hi.baidu.com/thinkinginlamp/blog/item/00b636d1e828c83f9b50273b.html
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest Authentication在实际应用中的问题
- HTTP Digest authentication
- HTTP之Digest authentication
- HTTP Digest authentication .
- HTTP Digest authentication
- RFC2617-HTTP Authentication: Basic and Digest Access Authentication
- Digest authentication
- Digest authentication
- Digest authentication
- Matlab与OpenCV在实际应用中的选择问题
- Matlab与OpenCV在实际应用中的选择问题
- MySQL在实际场景应用中的问题和思路
- Regsvr32在实际中的应用
- HTTP认证模式:Basic and Digest Access Authentication
- NHibernate在实际项目中的应用
- 设计模式在实际项目中的应用
- 《Effective C++》读书笔记之item36:绝不重新定义继承而来的non-virtual函数
- Linux中source命令的用法
- MyEclipse 7.0 安装Spket 1.6.23
- 在windows下面运行svn命令
- python中判断某变量是否存在
- HTTP Digest Authentication在实际应用中的问题
- ExtJS GridPanel动态加载列
- 视频测试序列的下载地址
- Programming .NET Components 2nd 学习笔记(十二)
- 在linux上增加swap交换空间
- 20120820
- 用一个view创建的多个静态分割窗体
- jdbc for mysql demo
- Java类型转换(int - byte[],float - byte[])