Kandu.dk - Base64-encoding


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Base64-encoding
Fra : Jesper Stocholm

Dato : 29-09-01 11:01

Jeg har siddet og kigget på noget dokumentation af base64-encoding, hvor det
står, at det ofte bruges i forbindelse med afsendelse af passwords etc over
usikre netværk - dvs LANs, internet etc.

Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Ole Michaelsen (29-09-2001)

Kommentar
Fra : Ole Michaelsen

Dato : 29-09-01 11:23

Jesper Stocholm wrote:
> Jeg har siddet og kigget på noget dokumentation af base64-encoding, hvor det
> står, at det ofte bruges i forbindelse med afsendelse af passwords etc over
> usikre netværk - dvs LANs, internet etc.
>
> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?

Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap, telnet,
mv, hvor man direkte kan aflæse adgangskoden.

Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning er
det netop Base64 kodning der bruges. Kan naturligvis brydes af enhver. Anvendes
"Digest" er det svjv MD5 der bruges. Desværre understøttes det ikke af alle
webbrowsere. Og man er stadig sårbar overfor et dictionaryattack, ligesom
du heller ikke kender nøglen til adgangskoderne i /etc/passwd - men du kan
godt bruteforce dem.

Vil du have din .htpasswd-beskyttede side sikker skal det nok smides igennem
en gang https.

Vh,

--
Ole Michaelsen
Copenhagen, Denmark

Jesper Stocholm (29-09-2001)

Kommentar
Fra : Jesper Stocholm

Dato : 29-09-01 11:49

Ole Michaelsen wrote in
news:slrn9rb88j.gm.omic+usenet3@goddard.intra.orange.dk:

> Jesper Stocholm wrote:
>> Jeg har siddet og kigget på noget dokumentation af base64-encoding,
>> hvor det står, at det ofte bruges i forbindelse med afsendelse af
>> passwords etc over usikre netværk - dvs LANs, internet etc.
>>
>> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?
>
> Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap,
> telnet, mv, hvor man direkte kan aflæse adgangskoden.
>

ja ... hvilket netop er min pointe ... men sikkerheden i at anvende base64
er jo ikke bedre end fx ROT13 ... hvis man gerne (som ond bruger) vil have
adgang til passwords etc, så er det jo i dette tilfælde ubehageligt nemt.

> Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning
> er det netop Base64 kodning der bruges. Kan naturligvis brydes af
> enhver. Anvendes "Digest" er det svjv MD5 der bruges. Desværre
> understøttes det ikke af alle webbrowsere. Og man er stadig sårbar
> overfor et dictionaryattack, ligesom du heller ikke kender nøglen til
> adgangskoderne i /etc/passwd - men du kan godt bruteforce dem.
>

til gengæld er der jo ikke tale om, at man har adgang til en MD5^1-funktion
.... her skal der jo trods alt arbejdes en del for at opnå adgang til plain-
text passwordet.

> Vil du have din .htpasswd-beskyttede side sikker skal det nok smides
> igennem en gang https.
>

det var nu ikke min hensigt at anvende det til noget ... jeg var blot
usikker på, om der var noget i algoritmen jeg havde misfforstået.

OT:
jeg har læst lidt mere om funktionen nu, og som jeg læser det, så bruges den
også til at lave binære data om til afsendelse i emails etc (eller som
muliggørelse af håndtering af binære data i fx XML-dokumenter) ... dvs den
tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?
BASE64 giver - iflg RFC1521 - en forøgelse på i snit 33% ... hvor mit
forslag ... i hvert fald som jeg på ståennde fod kan vurdere det - giver en
1-1 afbildning.

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Kent Friis (29-09-2001)

Kommentar
Fra : Kent Friis

Dato : 29-09-01 13:05

Den Sat, 29 Sep 2001 10:49:07 +0000 (UTC) skrev Jesper Stocholm:
>Ole Michaelsen wrote in
>news:slrn9rb88j.gm.omic+usenet3@goddard.intra.orange.dk:
>
>> Jesper Stocholm wrote:
>>> Jeg har siddet og kigget på noget dokumentation af base64-encoding,
>>> hvor det står, at det ofte bruges i forbindelse med afsendelse af
>>> passwords etc over usikre netværk - dvs LANs, internet etc.
>>>
>>> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?
>>
>> Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap,
>> telnet, mv, hvor man direkte kan aflæse adgangskoden.
>>
>
>ja ... hvilket netop er min pointe ... men sikkerheden i at anvende base64
>er jo ikke bedre end fx ROT13 ... hvis man gerne (som ond bruger) vil have
>adgang til passwords etc, så er det jo i dette tilfælde ubehageligt nemt.
>
>> Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning
>> er det netop Base64 kodning der bruges. Kan naturligvis brydes af
>> enhver. Anvendes "Digest" er det svjv MD5 der bruges. Desværre
>> understøttes det ikke af alle webbrowsere. Og man er stadig sårbar
>> overfor et dictionaryattack, ligesom du heller ikke kender nøglen til
>> adgangskoderne i /etc/passwd - men du kan godt bruteforce dem.
>>
>
>til gengæld er der jo ikke tale om, at man har adgang til en MD5^1-funktion
>... her skal der jo trods alt arbejdes en del for at opnå adgang til plain-
>text passwordet.
>
>> Vil du have din .htpasswd-beskyttede side sikker skal det nok smides
>> igennem en gang https.
>>
>
>det var nu ikke min hensigt at anvende det til noget ... jeg var blot
>usikker på, om der var noget i algoritmen jeg havde misfforstået.
>
>OT:
>jeg har læst lidt mere om funktionen nu, og som jeg læser det, så bruges den
>også til at lave binære data om til afsendelse i emails etc (eller som
>muliggørelse af håndtering af binære data i fx XML-dokumenter) ... dvs den
>tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
>man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?
>BASE64 giver - iflg RFC1521 - en forøgelse på i snit 33% ... hvor mit
>forslag ... i hvert fald som jeg på ståennde fod kan vurdere det - giver en
>1-1 afbildning.

Det du snakker om er binær overførsel.

Ascii er kun 7 bit (128 tegn), og de første 32 (0-31) er kontrolkoder.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Bertel Lund Hansen (29-09-2001)

Kommentar
Fra : Bertel Lund Hansen

Dato : 29-09-01 13:05

Jesper Stocholm skrev:

>tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
>man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?

Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
data gennem systemer der ikke kan garantere andet end at 7-bit
data overlever. Derfor folder man data op i et 'sikkert' område
via en spøjs tabel.

--
Bertel
http://lundhansen.dk/bertel/ FIDUSO: http://fiduso.dk/

Jesper Stocholm (27-01-2002)

Kommentar
Fra : Jesper Stocholm

Dato : 27-01-02 16:49

Bertel Lund Hansen wrote in
news:91ebrtcid1oroba2t6q7d9gnu5e8339sg1@news.stofanet.dk:

> Jesper Stocholm skrev:
>
>>tager de binære data og laver dem om til en tekst-streng. Men hvorfor
>>tager man ikke blot grupper af 8bits og anvender den dertil hørende
>>ASCII-værdi ?
>
> Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
> data gennem systemer der ikke kan garantere andet end at 7-bit
> data overlever. Derfor folder man data op i et 'sikkert' område
> via en spøjs tabel.
>

Kan du give eksempler på sådanne netværk ?

Jeg kan sige, at vi er kommet til at diskutere noget lignende i
dk.edb.internet.webdesign.serverside.asp .

Udvalgte headerlinier fra start-indlæg:

Subject: BinaryWrite : Hvad er formålet ?
Date: Fri, 25 Jan 2002 13:35:46 +0000 (UTC)
Message-ID: <Xns91A19477C58B2spamstocholmdk@130.226.1.34>

:)

--
Jesper Stocholm - http://stocholm.dk

Synes du også, at Britney trods alt er meget lækker - men dog
på grænsen til det kvalmende ? http://stocholm.dk/britney.txt

Kent Friis (27-01-2002)

Kommentar
Fra : Kent Friis

Dato : 27-01-02 21:48

Den Sun, 27 Jan 2002 15:48:38 +0000 (UTC) skrev Jesper Stocholm:
>Bertel Lund Hansen wrote in
>news:91ebrtcid1oroba2t6q7d9gnu5e8339sg1@news.stofanet.dk:
>
>> Jesper Stocholm skrev:
>>
>>>tager de binære data og laver dem om til en tekst-streng. Men hvorfor
>>>tager man ikke blot grupper af 8bits og anvender den dertil hørende
>>>ASCII-værdi ?
>>
>> Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
>> data gennem systemer der ikke kan garantere andet end at 7-bit
>> data overlever. Derfor folder man data op i et 'sikkert' område
>> via en spøjs tabel.
>>
>
>Kan du give eksempler på sådanne netværk ?

Ikke et egentlig netværk, men SMTP garanterer faktisk kun syv bit.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

Niels Andersen (28-01-2002)

Kommentar
Fra : Niels Andersen

Dato : 28-01-02 13:46

"Jesper Stocholm" <spam200201@stocholm.dk> wrote in message
news:Xns91A3AAE9CC828spamstocholmdk@130.226.1.34...
> > Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
> > data gennem systemer der ikke kan garantere andet end at 7-bit
> > data overlever. Derfor folder man data op i et 'sikkert' område
> > via en spøjs tabel.
> Kan du give eksempler på sådanne netværk ?

Email og usenet.

Ting, der egentlig er beregnet til tekst. Det kunne altså være et
browser-baseret diskussionsforum, der har jeg bare aldrig set det brugt.

--
Mvh.

Niels Andersen

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408528
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste