Forum: Programmieren allgemein
by cware,
10. Feb 2008
eben...
(sorry, falls das folgende falsch ist, aber bei deiner beschreibung des vorganges verstehe ich großteilig nur bahnhof, liegt wohl teilweise an den ganzen ein-zeichen-bezeichnern:)
das problem an der ganzen sache ist: der MITM kann sich einfach zwischen den client und server schalten und die challenge-response-phase mitnutzen...
es sagt ja niemand, dass der MITM sich nach dir nochmal...
Forum: Programmieren allgemein
by cware,
10. Feb 2008
kurz gesagt: genau das, was bei dem vorgehen, das ich gefunden habe, auch gemacht wird... :lol:
damit ist dein vorgehen also genauso anfällig für MITM wie das andere...
cheers...
Forum: Programmieren allgemein
by cware,
10. Feb 2008
durch abfrage des öffentlichen schlüssels bei einem Trusted Certificate Issuer...
aber auch da gilt wieder: bin ich wirklich mit dem richtigen verbunden, oder stecke ich grad in einer man-in-the-middle attack... :lol:
cheers...
Forum: Programmieren allgemein
by cware,
10. Feb 2008
ohje ohje... was das denn?
sorry, aber es ist ja wohl mit das leichteste, E-Mails abzufangen...
damit erzeugst du eine race-condition, die ein Man-in-the-Middle jedes Mal gewinnen kann...
wer hindert ihn daran, den registrierungsprozess für den eigentlichen Benutzer fortzuführen?
was ich wirklich interessant finde, ist der ansatz auf http://pajhome.org.uk/crypt/md5/auth.html (suchen nach...
Forum: Programmieren allgemein
by cware,
10. Feb 2008
möglich wäre es evtl. dadurch, dass der challenge-wert als hidden input im formular steht...
dann würde der user das passwort eingeben und auf einloggen klicken...
dann müsste das passwort zuerst via JavaScript genommen werden, aus dem Passwort und dem challenge-wert der response-wert ermittelt werden...
und dann müsste man evtl. nochmal ein commit machen, um den response-wert als passwort...
Forum: Programmieren allgemein
by cware,
10. Feb 2008
das passwort muss IMMER über das internet verschickt werden... mindestens bei der registrierung...
in der heutigen zeit ist alles andere user-unfreundlich etc. pp.
für das eigentliche einloggen kann man ein challenge-response-verfahren benutzen...
das problem ist nur: sowas unterstützt HTTP nicht...
somit bleibt im web nur die übertragung des passwortes...
cheers...
Forum: Programmieren allgemein
by cware,
7. Feb 2008
den text in eine binärform bringen unter der premisse, dass die länge des wortes gleich lang bleibt, ja... das kann zum beispiel durch das einrechnen von stördaten/varianzen geschehen, durch die dann theoretisch alle 256 zustände in einem ungehashten wort vorkommen können...
das schöne: selbst, wenn der algorithmus für das einrechnen der varianzen bekannt ist, bringt das nichts, weil wir ja...
