Home   
über mich   
Fotos & Reise   
Dokumente & Software   
Links   
Kontakt   
Sitemap   
 
       Druckversion
       Seite als PDF


Impressum
Kontakt
Suche

2.4 Digest Authentication

 

Teil des HTTP/1.1 ist ein verbessertes Authentifizierungsschema mit dem Namen: Digest Authentication.

Genau wie Basic Authentication ist auch Digest Authentication ein Passwortbasierender Zugriffsschutz.

Der Zugriff vom Client auf den Server läuft auch hier in 4 Schritten ab:

 

# 1. Der Client führt einen ganz normalen HTTP- Request für das gewünschte Dokument aus.

 

# 2. Der Server verweigert die Auslieferung des Dokuments, indem er den Statuscode "401 Unauthorized" zurücksendet

und gibt dabei an um welches Authentifizierungsverfahren es sich handelt, hier: Digest Authentication. Ferner wird ein

sogenannter "nonce" - Wert, eine Integer-Zahl, zurückgeliefert, die bei jeder Aufforderung neu generiert wird.

 

# 3. Der Benutzer gibt nun User-ID und Passwort an, die mit dem nonce- Wert, der HTTP- Methode und der URL der

angeforderten Seite zusammen durch eine MD5- Hashfunktion als 128- bit Zahl kodiert wird. Nun fordert der Client nochmals

das Dokument, mit dieser Authentifizierung an.

 

# 4. Der Server überprüft den Hashwert, indem er einen zweiten Hashwert (bestehend aus User-ID & Passworthashwert + nonce + URL )

mit der Hashfunktion generiert und die beiden Werte vergleicht. Bei einem positiven Vergleich wird nun das angeforderte Dokument übermittelt.

 

Das positive bei diesem Schema ist, dass das Passwort niemals selbst übertragen wird sondern nur ein Hashwert.

Zweitens wird auch auf dem Server nur der Hashwert gespeichert so das ein Diebstahl des Passwortes ausgeschlossen ist.

Eine weitere Vorsichtsmaßnahme besteht darin, dass die URL der angeforderten Seite im Hashcode enthalten ist.

Wenn jemand den Hashcode abfängt und sich somit illegal Zugriff verschafft, bleibt dieser Zugang nur auf diese einzelne

URL beschränkt. Das Risiko kann noch weiter reduziert werden, wenn der nonce- Wert, der vom Server übermittelt wird,

einen "Zeitstempel" enthält. Dieser Zeitstempel (time- stamp) beschränkt die Gültigkeit des nonce- Wertes und damit des

Hashcodes auf eine kurze Zeitspanne.

 

Zusammenfassend lässt sich sagen, dass auch das Digest Authentication Schema gewissen Begrenzungen unterliegt.

Es hat die selben Nachteile wie jedes passwortbasierende Authentifizierungssystem. Es ist genauso anfällig für Angriffe

feindlicher Server, wie Basic Authentication. Der Grund dafür ist das Fehlen einer Serverseitigen Identifikation.

HTTP Digest Authentication ist also auch keine komplette Antwort auf die Frage nach mehr Sicherheit im WWW.

 

# Warum man aber statt Digest Authentication immer noch Basic Authentication nutzt wird im 2 Teil dieses Vortrags näher erläutert.

 

ZurückHomeWeiter




    letzte Änderung:  10:48 12/05 2006


Studium
LaTex
Bachelor
Diplomarbeit
top Copyright 2002 - 2010 © Christian Urban-Seelmann - Alle Rechte vorbehalten