Hlavní navigace

Názor ke zprávičce Bicyklový útok na HTTPS od ventYl - este za mojich stredoskolskych cias som v javascripte...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 1. 2016 18:00

    ventYl (neregistrovaný)

    este za mojich stredoskolskych cias som v javascripte doslova na par riadkov implementoval challenge-response (digest) mechanizmus autentifikacie. ak posielate hashe, javascript sa pre prihlasenie dost pravdepodobne uz pouziva, cize minus to nebude. vyhoda je, ze preneseny token je z principu one-time password a ak sa to implementuje rozumne, je to relativne odolne voci replay utokom aj DoS.

    slabost hashovacieho algoritmu tu je na skodu rovnako ako pri posielani plain hashovanych hesiel.

    nejako som predpokladal, ze akakolvek aspon trocha seriozna webova sluzba, ktora si dovoli spravit javascript mandatory, uz toto automaticky pouziva.