jamen wrote:
> Kasper Johansen wrote:
>
>> Også at huske at man ALDRIG må gemme adgangskoder og lignende i
>> cookies, da cookies også kan sniffes via. netværket computeren er
>> forbundet til. Igen vil det ikke fungere på samme måde med sessions
>> (som jeg nok mener har beskyttelse mod at man sniffer id'et og bruger
>> det).
>
> Hvis der benyttes HTTP ved login, så kan passwordet sniffes her.
Jeps. Man kan komme omkring det problem med et
challenge-response-system, hvor serveren sender en challenge
(<challenge>), tid (<tid>) og klienten sender hash(concat(<challenge>,
<tid>, <password>)). For at gøre det, må man bruge javascript.
Er der iøvrigt nogen der ved hvor udbredte de indbyggede, HTTP-baserede
challenge-response-mekanismer efterhånden er?
> Som default er session id ikke beskyttet. Så et sniffet id, kan fint
> benyttes af andre. Selv bag en anden ip.
Det forudsætter at man bruger det meget kort tid efter at man har samlet
det op, da de lagrede sessionsdata ellers bliver slettet efter ikke at
have været i brug i noget tid.
Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at
http://michael.zedeler.dk/
Get my vcard at
http://michael.zedeler.dk/vcard.vcf