[Metalab] Jublogin
Paul Böhm
paul at boehm.org
Sat Jun 2 16:42:52 CEST 2007
wenn jemand das passwort mitlesen könnte wenns plaintext ist, aber das
passwort irgendwie gesichert wird, bringt das nur der sicherheit des
passworts was. dein verfahren scheint allerdings weit weit von zero
knowledge proofs oder so entfernt zu sein, und daher ist selbst der
nutzen für die passwort sicherheit sehr fraglich.
replay attacken auf die authentifikation sind in dem fall übrigens uninteressant
die tcp verbindung ist immer noch MITM hijackbar (z.B. bei connection
basierter authentifikation), und die session id ist sowieso
ungeschützt (bei normalem stateless http)
authentifizierung bringt dir nichts ohne integrität der daten die du
im nachhinein überträgst.
https versucht dir integrity und confidentiality im bündel-paket zu
geben - viel besseres ist bisher leider niemandem eingefallen.
integrity ohne confidentiality wäre auch nicht billiger.
zu dem thema vielleicht auch mal NTLM und digest authentication, und
deren probleme ansehen:
http://www.innovation.ch/personal/ronald/ntlm.html
http://www.ietf.org/rfc/rfc2617.txt
lg
paul
On 6/2/07, Florian Hufsky <florian.hufsky at gmail.com> wrote:
> Also das is verschlüsselung nur für passwörter wennst kein HTTPS
> verfügbar hast? wtf? srsly?
>
> Wir ham eh grad drüber gredet, also... äh... ich seh irgendwie keinen
> use case. Wennst sicherheit willst, willst eh HTTPS. User die auf
> Phishing reinfallen, sind so auch nicht geschützt. Der einzige Schutz
> wäre gegen man-in-the-middle zeugs, aber... ja... äh... dann gleich
> richtig (tunneln/https).
>
> Und Banken... verwenden sowieso HTTPS.
>
> ;)
>
> On 6/2/07, Johannes Buchner <buchner.johannes at gmx.at> wrote:
> > Hallo liebe Labber!
> >
> > Ich möchte kurz jublogin vorstellen, und euch fragen, was ihr davon haltet:
> >
> > http://jublogin.sourceforge.net/
> >
> > Es implementiert eine CHAP-ähnliche Authentifizierung für Web-Logins, um
> > Abhören und Replay-Attacken unmöglich zu machen.
> >
> > Genauere technische Details: http://jublogin.sourceforge.net/types
> > Demos: http://jublogin.sourceforge.net/demos
> >
> > 1) Seht ihr irgendwelche groben Probleme, Fehler, die ich gemacht habe?
> > 2) Haltet ihr das für sinnvoll, wert, in andere Anwendungen einzubauen (z.B.
> > diverse CMS, online-banking)
> > 3) Sonstige Kommentare, Bashing, Troll-posts, flames :-)
> >
> > Liebe Grüße,
> > Johannes Buchner
> >
> > _______________________________________________
> > Metalab mailing list
> > Metalab at lists.metalab.at
> > http://lists.metalab.at/mailman/listinfo/metalab
> >
> >
> >
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> http://lists.metalab.at/mailman/listinfo/metalab
>
More information about the Metalab
mailing list