Comment l'authentification Digest empêche-t-elle les attaques par relecture?

J'ai trouvé beaucoup de questions sur stackoverflow qui mentionne l'authentification digest. Je ne pouvais pas trouver sur comment l'authentification Digest empêche les attaques de rejeu? J'utilise l'outil fiddler pour intercepter la requête http aux serveurs. J'ai utilisé le même outil pour rejouer les requêtes sur le serveur mais le serveur a demandé une authentification.Comment l'authentification Digest empêche-t-elle les attaques par relecture?

Je dois comprendre exactement comment la prévention des attaques de rejeu est atteinte. Comment le serveur est capable de détecter toute relecture des requêtes http?

Tous les liens/ressources seraient appréciés.

Source

2010-10-27 Anand Patel

L'authentification Digest empêche les attaques de relecture en utilisant un nonce spécifié par le serveur. Le serveur génère un nonce aléatoire lorsque le client tente de faire une requête non authentifiée, le client doit incorporer le nonce dans sa réponse. C'est au serveur de gérer les nonces valides, et de les invalider lorsqu'elles ont été utilisées, pour éviter les replays.

Source

2011-04-11 01:17:20

Wiki a une bonne description du processus. Notez que cela empêche seulement les attaques de relecture * si * le serveur supporte cette opération optionnelle mais un inconvénient de ce processus est que le serveur n'est jamais authentifié. Notez que cela n'empêche pas (par la suite) le piratage de session une fois authentifié. https://en.wikipedia.org/wiki/Digest_access_authentication –

Comment l'authentification Digest empêche-t-elle les attaques par relecture?

Répondre

Questions connexes