HTTP: basic авторизация под SSL

← →
Дмитрий С (2009-02-03 09:56) [0]

Защищена ли basic авторизация под SSL от сниффера?

← →
SPeller © (2009-02-03 10:37) [1]

При авторизации браузер передает заголовок
Authorization: Basic YWRtaW46YWFhYWFh
Можешь глянуть исходники той же мозиллы, если интересно что это.

Если интересна последующее общение - берешь в руки Fiddler и смотришь чем обнеиваются клиент и сервер. Я уже не помню и нет времени смотреть.

← →
SPeller © (2009-02-03 10:39) [2]

Таки нашел где проверить. При дальнейшем общении только этот заголовок в неизменном виде и передается. Поэтому если заставишь браузер передавать его не авторизуясь....

← →
Медвежонок Пятачок © (2009-02-03 10:41) [3]

Если ssl, то весь трафик браузер-сервер защищен, а не только авторизация

← →
SPeller © (2009-02-03 10:45) [4]

имеется ввиду хттпс?

← →
Медвежонок Пятачок © (2009-02-03 10:50) [5]

почему только https?

любой протокол, хоть smtp/pop, хоть свой кастомный.

← →
SPeller © (2009-02-03 10:59) [6]

если свой шифрованный транспорт, то действительно пофигу, можно хоть в формочке в открытом виде ) если просто через инет, то лучше использовать AuthType: Digest )

← →
SPeller © (2009-02-03 11:00) [7]

правда его поддерживает только ие и мозилла 3. вроде бы. в свое время отказались потому что только один браузер нормально поддерживал этот протокол авторизации

← →
Медвежонок Пятачок © (2009-02-03 11:03) [8]

а ссл это нешифрованный транспорт?
а если шифрованный, то зачем дайджест?

← →
SPeller © (2009-02-04 02:29) [9]

> а если шифрованный, то зачем дайджест?

Это к автору. Если зашифрованный, то нафига вообще вопрос? :)

← →
Добежал (2009-02-04 13:21) [10]

> Это к автору

автор четко дал понять - SSL.

А SSL является протоколом уровня ниже, чем HTTP. Соответственно, вся HTTP информация пакета будет идти в зашифрованном виде. Поэтому ответ - да, защищен. От снифера - защищен.

← →
SPeller © (2009-02-04 14:48) [11]

Да автор, полагаю, имел ввиду HTTP over SSL, aka HTTPS. От сниффера где-то посередине - защищен. От прокси - нет.

← →
Дмитрий С (2009-02-05 08:51) [12]

Спасибо за ответы. Честно говоря я так и думал.

> SPeller © (04.02.09 14:48) [11]
>
> Да автор, полагаю, имел ввиду HTTP over SSL, aka HTTPS.
> От сниффера где-то посередине - защищен. От прокси - нет.
>

Как это от прокси - нет? Объясните

← →
SPeller © (2009-02-05 09:01) [13]

Как-то так. Fiddler - это локальный прокси. Так вот он умеет расшифровывать https трафик.

← →
Медвежонок Пятачок © (2009-02-05 09:03) [14]

интересно как он это сделает, не имея приватного ключа сертификата, на котором шифруются данные?

← →
Медвежонок Пятачок © (2009-02-05 09:39) [15]

Fiddler2 relies on a "man-in-the-middle" approach to HTTPS interception. To your web browser, Fiddler2 claims to be the secure web server, and to the web server, Fiddler2 mimics the web browser. In order to pretend to be the web server, Fiddler2 dynamically generates a HTTPS certificate.

То есть он на самом деле не умеет расшифровывать чужое, а подсовывает браузеру свои сертификаты, прикинувшись вебсервером.

вон оно как...

← →
Добежал (2009-02-05 11:19) [17]

> вон оно как...

не, а ты правда думал, что вот никто не умеет расшифровывать алгоритм с открытым ключом (не знаю что там применяется в SSL), а вот какой-то там прокси сервер fiddler умеет?

>[14] Медвежонок Пятачок © (2009-02-05 09:03:00)
>интересно как он это сделает, не имея приватного ключа сертификата, на котором
>шифруются данные?
обычная MitM-атака, тьфу. перехватываем соединение, суём свой сертификат, полученый от сервера бережно запоминаем. дальше описывать?

---
All Your Base Are Belong to Us

Ну так это как бы совсем не расшифровывание чужого https трафика.
Это расшифровывание трафика, зашифрованного на своем собственном сертификате

← →
Дмитрий С (2009-02-06 03:36) [20]

> обычная MitM-атака, тьфу. перехватываем соединение, суём
> свой сертификат, полученый от сервера бережно запоминаем.
> дальше описывать?

А где прокси возьмет сертификат подписанный авторизованным центром сертификации? А еще и если клиентский сертификат используется, тогда вообще нереально.

-------------------------------
Кстати, а можно ли автоматически всем компьютерам в домене установить сертификат своего центра сертификации?

>[20] Дмитрий С (2009-02-06 03:36:00)
>А где прокси возьмет сертификат подписанный авторизованным центром
>сертификации?
а зачем? 90% юзеров не обратят внимания, от кого там сертиф. а для остальных можно мелкотрояном сделать автоприём сертификатов — почти никто не занервничает, если https вообще не спросит про сертиф.

>Кстати, а можно ли автоматически всем компьютерам в домене установить
>сертификат своего центра сертификации?
мне смутно кажется, что да.

---
Understanding is not required. Only obedience.

HTTP: basic авторизация под SSL Найти похожие ветки