设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 12708|回复: 1
打印 上一主题 下一主题

HTTP Digest Authentication在实际应用中的问题

[复制链接]
跳转到指定楼层
1#
发表于 2009-11-29 01:43:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
作者:老王

Basic认证实际上是明文传递密码,所以RFC2617里定义了Digest认证以取代它,其计算方法如下:



其中HA1计算方法为:




如果qop选项的值为auth,那么HA2散列计算方法为:




如果qop选项的值为auth-int,那么HA2散列计算方法为:





密码的问题:

当客户端请求到达的时候,服务器程序为了验证其response是否合法,必须按照上面的计算方法重新构建response,那么为了能算出HA1散列,必须满足以下两个条件之一:要么在数据库里保存原始密码,要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。

实际应用里,密码一般都是保存其md5散列,想得周到点的,会加一个salt再md5。首先,保存原始密码是不可想象的,一旦数据库出问题,密码直接处于裸奔状态,问题就严重了。其次,预先保存计算好的HA1也是很难的,除非是新应用,否则老系统估计不太可能会那么有前瞻性去保存一个HA1。

攻击的问题:

在Basic认证里,一旦请求被黑客嗅探到,那么密码就暴露了,在Digest认证里,虽然黑客不可能直接嗅探到密码,但是他可以利用拿到的请求头信息构造一个看似合法的请求,或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击,服务器必须记录哪些nonce已经被用过了。

在一个繁忙的网站里,如果每次请求的nonce值都要记录下来的话,那用不了多久,数据量就会达到一个天文数字,这无疑增加了服务器的负担。相对而言,比较实际的做法是仅仅记录一段时间内的nonce值,比如一个小时内的nonce值,但黑客同样也可以一个小时候后再发起攻击,所以还得把nonce的产生和时间戳结合起来才行,屏蔽过期的nonce,或者把nonce和ip结合起来,不过问题的解决方案也一点一点变得复杂了。

参考文档:Digest access authentication
您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-18 23:41 , Processed in 0.073809 second(s), 8 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表