Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2009.04.05;
Скачать: [xml.tar.bz2];

Вниз

HTTP: basic авторизация под SSL   Найти похожие ветки 

 
Дмитрий С   (2009-02-03 09:56) [0]

Защищена ли basic авторизация под SSL от сниффера?


 
SPeller ©   (2009-02-03 10:37) [1]

При авторизации браузер передает заголовок
Authorization: Basic YWRtaW46YWFhYWFh
Можешь глянуть исходники той же мозиллы, если интересно что это.

Если интересна последующее общение - берешь в руки Fiddler и смотришь чем обнеиваются клиент и сервер. Я уже не помню и нет времени смотреть.


 
SPeller ©   (2009-02-03 10:39) [2]

Таки нашел где проверить. При дальнейшем общении только этот заголовок в неизменном виде и передается. Поэтому если заставишь браузер передавать его не авторизуясь....


 
Медвежонок Пятачок ©   (2009-02-03 10:41) [3]

Если ssl, то весь трафик браузер-сервер защищен, а не только авторизация


 
SPeller ©   (2009-02-03 10:45) [4]

имеется ввиду хттпс?


 
Медвежонок Пятачок ©   (2009-02-03 10:50) [5]

почему только https?

любой протокол, хоть smtp/pop, хоть свой кастомный.


 
SPeller ©   (2009-02-03 10:59) [6]

если свой шифрованный транспорт, то действительно пофигу, можно хоть в формочке в открытом виде ) если просто через инет, то лучше использовать AuthType: Digest )


 
SPeller ©   (2009-02-03 11:00) [7]

правда его поддерживает только ие и мозилла 3. вроде бы. в свое время отказались потому что только один браузер нормально поддерживал этот протокол авторизации


 
Медвежонок Пятачок ©   (2009-02-03 11:03) [8]

а ссл это нешифрованный транспорт?
а если шифрованный, то зачем дайджест?


 
SPeller ©   (2009-02-04 02:29) [9]


> а если шифрованный, то зачем дайджест?

Это к автору. Если зашифрованный, то нафига вообще вопрос? :)


 
Добежал   (2009-02-04 13:21) [10]


> Это к автору


автор четко дал понять - SSL.

А SSL является протоколом уровня ниже, чем HTTP. Соответственно, вся HTTP информация пакета будет идти в зашифрованном виде. Поэтому ответ - да, защищен. От снифера - защищен.


 
SPeller ©   (2009-02-04 14:48) [11]

Да автор, полагаю, имел ввиду HTTP over SSL, aka HTTPS. От сниффера где-то посередине - защищен. От прокси - нет.


 
Дмитрий С   (2009-02-05 08:51) [12]

Спасибо за ответы. Честно говоря я так и думал.


> SPeller ©   (04.02.09 14:48) [11]
>
> Да автор, полагаю, имел ввиду HTTP over SSL, aka HTTPS.
> От сниффера где-то посередине - защищен. От прокси - нет.
>

Как это от прокси - нет? Объясните


 
SPeller ©   (2009-02-05 09:01) [13]

Как-то так. Fiddler - это локальный прокси. Так вот он умеет расшифровывать https трафик.


 
Медвежонок Пятачок ©   (2009-02-05 09:03) [14]

интересно как он это сделает, не имея приватного ключа сертификата, на котором шифруются данные?


 
Медвежонок Пятачок ©   (2009-02-05 09:39) [15]

Fiddler2 relies on a "man-in-the-middle" approach to HTTPS interception.  To your web browser, Fiddler2 claims to be the secure web server, and to the web server, Fiddler2 mimics the web browser.  In order to pretend to be the web server, Fiddler2 dynamically generates a HTTPS certificate.  

То есть он на самом деле не умеет расшифровывать чужое, а подсовывает браузеру свои сертификаты, прикинувшись вебсервером.


 
SPeller ©   (2009-02-05 09:57) [16]

вон оно как...


 
Добежал   (2009-02-05 11:19) [17]


> вон оно как...

не, а ты правда думал, что вот никто не умеет расшифровывать алгоритм с открытым ключом (не знаю что там применяется в SSL), а вот какой-то там прокси сервер fiddler умеет?


 
ketmar ©   (2009-02-05 22:40) [18]

>[14] Медвежонок Пятачок © (2009-02-05 09:03:00)
>интересно как он это сделает, не имея приватного ключа сертификата, на котором
>шифруются данные?

обычная MitM-атака, тьфу. перехватываем соединение, суём свой сертификат, полученый от сервера бережно запоминаем. дальше описывать?

---
All Your Base Are Belong to Us


 
Медвежонок Пятачок ©   (2009-02-05 23:07) [19]

Ну так это как бы совсем не расшифровывание чужого https трафика.
Это расшифровывание трафика, зашифрованного на своем собственном сертификате


 
Дмитрий С   (2009-02-06 03:36) [20]


> обычная MitM-атака, тьфу. перехватываем соединение, суём
> свой сертификат, полученый от сервера бережно запоминаем.
>  дальше описывать?

А где прокси возьмет сертификат подписанный авторизованным центром сертификации? А еще и если клиентский сертификат используется, тогда вообще нереально.

-------------------------------
Кстати, а можно ли автоматически всем компьютерам в домене установить сертификат своего центра сертификации?


 
ketmar ©   (2009-02-06 22:24) [21]

>[20] Дмитрий С (2009-02-06 03:36:00)
>А где прокси возьмет сертификат подписанный авторизованным центром
>сертификации?

а зачем? 90% юзеров не обратят внимания, от кого там сертиф. а для остальных можно мелкотрояном сделать автоприём сертификатов — почти никто не занервничает, если https вообще не спросит про сертиф.

>Кстати, а можно ли автоматически всем компьютерам в домене установить
>сертификат своего центра сертификации?

мне смутно кажется, что да.

---
Understanding is not required. Only obedience.



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2009.04.05;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.49 MB
Время: 0.005 c
15-1233407051
Piter
2009-01-31 16:04
2009.04.05
Шикарный номер из украинского КВН а


15-1233915107
Skyle
2009-02-06 13:11
2009.04.05
Самодельный EML и почтовая программа. Нельзя указать получателя.


3-1217849719
Евгений Р.
2008-08-04 15:35
2009.04.05
как передать значение Null хранимой процедуре?


15-1233900281
123-ий
2009-02-06 09:04
2009.04.05
Перенос данных из одной БД в другую


2-1234964702
321
2009-02-18 16:45
2009.04.05
StringList





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский