SORU
18 Ocak 2009, Pazar


Geri KALAN güvenlik kimlik doğrulama düzenleri

Arka plan:

Hizmet web DİNLENMEK için kimlik doğrulama şeması tasarlıyorum. Bu "gerçekten" mümkün olduğunca güvenli hale getirmek istiyorum güvenli (kişisel bir proje daha var) ama gerek öğrenme deneyimi/. bir egzersiz olarak değil Güçlük ve, çoğunlukla, bu kurma masrafına istemiyorum beri SSL kullanmak istemiyorum.

Bu KADAR soru beni başlamak için özellikle yararlı olmuştur

Amazon S3's authentication (ama benim ihtiyaçları için karmaşık görünüyor da OAuth ben gibi) basitleştirilmiş bir sürümünü kullanmayı düşünüyorum. Bir rasgele yeniden gönderme saldırılarını önlemek için isteği, nonce sunucu tarafından sağlanan, oluşturulan ekliyorum.

Soruya geçmek için:

Hem S3 ve OAuth isteği birkaç seçili üstbilgiler URL ile birlikte imza güveniyor.İkisi de istek gövdesini işaretveya POST istekleri KOYDU. Bu da saldırganın istediği herhangi bir veri ile man-in-the-orta url tutar ve istek başlıklarını yerini alan saldırı, vücut savunmasız değil mi?

İsteği bir karma imzalı alır dize vücut dahil olmak üzere, bu karşı korumak olabilir gibi görünüyor. Bu güvenli mi?

CEVAP
11 Mayıs 2012, Cuma


Bir önceki cevap sadece veri aktarımı bağlamında SSL bahsedilen ve aslında kimlik doğrulama kapak yoktu.

Gerçekten güvenli bir şekilde REST API istemciler kimlik doğrulaması hakkında soruyorsun. TLS istemci kimlik doğrulaması kullanarak değilseniz, SSLyalnızDİNLENMEK için uygun bir kimlik doğrulama mekanizması DEĞİLDİR API. İstemci SSL authc olmadan sadece doğrularserverçoğu gerçekten doğrulamak istiyorum . çünkü REST API için önemsiz olan , ^em>istemci.

Eğer ki TLS İstemci Kimlik Doğrulaması gerekir kullanmak gibi bir şey bir özet tabanlı bir kimlik doğrulama şeması (Amazon Web Servisi özel programı) veya OAuth 1.0 hatta HTTP Temel kimlik doğrulaması (Ama yaLnızca SSL).

Bu şemaları isteği beklenen biri tarafından gönderilen bir kimlik. TLS (SSL) (İstemci Kimlik Doğrulaması olmadan) verileri kablo üzerinden gönderilen kurcalanmamış kalmasını sağlar. Ayrı bir tamamlayıcıdır ilgilendiriyor.

İlgilenenler için, HTTP Authentication Schemes and how they work hakkında bir soru üzerinde büyüttüm.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Doc Adams

    Doc Adams

    20 HAZİRAN 2007
  • Film Riot

    Film Riot

    16 NİSAN 2006
  • Megan Parken

    Megan Parken

    19 Temmuz 2009