11
Янв
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Аутентификация, основывающаяся на использовании дайджестов (digest), была разработана с целью обеспечения более высокого уровня защиты, чем уровень, предоставляемый базовой ау¬тентификацией. Спецификации дайджест-аутентификации приведены в документе RFC 2617. Метод дайджест-аутентификации базируется на модели "запрос — отклик" (challenge-response). Эта модель обеспечивает возможность убедиться в том, что вызывающая сторона действительно знает некие секретные сведения, но при этом ей не требуется пересылать эти сведения в откры¬том тексте, подвергая их угрозе перехвата.
Читать полностью
10
Янв
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Как видно из примера формоориентированной аутентификации, для временного хране¬ния аутентификационного маркера часто используются файлы cookie. Это избавляет пользо¬вателя от необходимости снова и снова при каждом посещении защищенной страницы вво¬дить свои регистрационные данные. Поскольку с файлами cookie, как и с любыми другими файлами, можно выполнять различного рода манипуляции, не говоря уже об их хищении, это может привести к разглашению важной информации. В рассматривавшемся примере для противодействия злоупотреблениям такого рода применялось шифрование по алгоритму 3DES в соответствии с параметрами настройки ASP.NET. Методы взлома узлов, основанные на использовании файлов cookie, подробно описываются в главах 7 и 12.
Читать полностью
8
Янв
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Итак, рассмотрены основные схемы аутентификации, которые используются сегодня в сети Internet. Как же можно взломать эти механизмы? В этом разделе обсуждаются методы взлома, базирующиеся на общеизвестных изъянах средств Web-аутентификации, а в завер¬шение говорится о том, как в своей работе защитить себя от подобных неприятностей.
Читать полностью
