Einzelnen Beitrag anzeigen

Benutzerbild von cware
cware

Registriert seit: 15. Feb 2007
Ort: Mannheim
38 Beiträge
 
Delphi 7 Enterprise
 
#31

Re: Benutzerdaten einer Website - weg von MD5

  Alt 11. Feb 2008, 00:35
Zitat von negaH:
Zitat:
kurz gesagt: genau das, was bei dem vorgehen, das ich gefunden habe, auch gemacht wird... Laughing
damit ist dein vorgehen also genauso anfällig für MITM wie das andere...
Nenn mir ein Verfahren das absolut betrachtet einer MITMA widerstehen kann !

Gruß Hagen
eben...

(sorry, falls das folgende falsch ist, aber bei deiner beschreibung des vorganges verstehe ich großteilig nur bahnhof, liegt wohl teilweise an den ganzen ein-zeichen-bezeichnern
das problem an der ganzen sache ist: der MITM kann sich einfach zwischen den client und server schalten und die challenge-response-phase mitnutzen...
es sagt ja niemand, dass der MITM sich nach dir nochmal einloggt... er loggt sich einfach ein, wenn du dich einloggst... damit fällt der login-counter schonmal flach... die response zur password-challenge lieferst du automatisch beim login mit...

das wohl interessanteste szenario ist, dass der MITM sich permanent einnistet und sich auf deiner seite als server ausgibt... er könnte z.b. alle passwort-änderungen, etc. mitmachen und sogar deine anfragen an den server weiterleiten und die antworten an dich zurückgeben (allerdings würden die anfragen über die gekaperte verbindung des MITM mit seinen zugangsdaten erfolgen)...
mitkriegen würdest du nicht viel - der counter wird erhöht (das kann sogar der echte server übernehmen) und das passwort wird geändert (das macht der MITM)...
und während du eingeloggt bist (und auch danach) kann der MITM auf dem server arbeiten...
sollte er gerade arbeiten und willst dich neu einloggen, kappt er die verbindung zum server und baut sie gemeinsam mit dir wieder neu auf => der login-counter ist korrekt und alle sind glücklich...


cheers...
> Why is 6 afraid of 7?
< Because 7 8 9!
  Mit Zitat antworten Zitat