SORU
18 Ocak 2009, Pazar


Geri KALAN güvenlik kimlik doğrulama düzenleri

Arka plan:

Hizmet web DİNLENMEK için kimlik doğrulama şeması tasarlıyorum. Bu "gerçekten" mümkün olduğunca güvenli hale getirmek istiyorum güvenli (kişisel bir proje daha var) ama gerek öğrenme deneyimi/. bir egzersiz olarak değil Güçlük ve, çoğunlukla, bu kurma masrafına istemiyorum beri SSL kullanmak istemiyorum.

Bu KADAR soru beni başlamak için özellikle yararlı olmuştur

Amazon S3's authentication (ama benim ihtiyaçları için karmaşık görünüyor da OAuth ben gibi) basitleştirilmiş bir sürümünü kullanmayı düşünüyorum. Bir rasgele yeniden gönderme saldırılarını önlemek için isteği, nonce sunucu tarafından sağlanan, oluşturulan ekliyorum.

Soruya geçmek için:

Hem S3 ve OAuth isteği birkaç seçili üstbilgiler URL ile birlikte imza güveniyor.İkisi de istek gövdesini işaretveya POST istekleri KOYDU. Bu da saldırganın istediği herhangi bir veri ile man-in-the-orta url tutar ve istek başlıklarını yerini alan saldırı, vücut savunmasız değil mi?

İsteği bir karma imzalı alır dize vücut dahil olmak üzere, bu karşı korumak olabilir gibi görünüyor. Bu güvenli mi?

CEVAP
11 Mayıs 2012, Cuma


Bir önceki cevap sadece veri aktarımı bağlamında SSL bahsedilen ve aslında kimlik doğrulama kapak yoktu.

Gerçekten güvenli bir şekilde REST API istemciler kimlik doğrulaması hakkında soruyorsun. TLS istemci kimlik doğrulaması kullanarak değilseniz, SSLyalnızDİNLENMEK için uygun bir kimlik doğrulama mekanizması DEĞİLDİR API. İstemci SSL authc olmadan sadece doğrularserverçoğu gerçekten doğrulamak istiyorum . çünkü REST API için önemsiz olan , ^em>istemci.

Eğer ki TLS İstemci Kimlik Doğrulaması gerekir kullanmak gibi bir şey bir özet tabanlı bir kimlik doğrulama şeması (Amazon Web Servisi özel programı) veya OAuth 1.0 hatta HTTP Temel kimlik doğrulaması (Ama yaLnızca SSL).

Bu şemaları isteği beklenen biri tarafından gönderilen bir kimlik. TLS (SSL) (İstemci Kimlik Doğrulaması olmadan) verileri kablo üzerinden gönderilen kurcalanmamış kalmasını sağlar. Ayrı bir tamamlayıcıdır ilgilendiriyor.

İlgilenenler için, HTTP Authentication Schemes and how they work hakkında bir soru üzerinde büyüttüm.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • ELawshea

    ELawshea

    26 Mayıs 2008
  • FrameCityJackal

    FrameCityJac

    4 Aralık 2010
  • Malwarebytes

    Malwarebytes

    22 Temmuz 2007