Рис. 22.2. Диалоговое окно входа для базовой аутентификации

Таким образом, данные, которые в противном случае видимы для любой утилиты прослушивания сети, будут зашифрованы с применением сложных алгоритмов. (Дополнительную информацию об SSL вы можете найти в главе 18.)

Дайджест-аутентификация

Дайджест-аутентификация (Digest), как и базовая, требует, чтобы пользователь вводил информацию учетной записи в регистрационном диалоговом окне, отображаемом браузером. Однако, в отличие, от Basic-аутентификации. Digest-аутентификация передает хеш-код пароля вместо самого пароля. Поскольку используется хеш-код, сам пароль никогда не пересылается по сети (что предотвращает его хищение, даже когда не применяется SSL. Процесс дайджест-аутентификации работает следующим образом:

  1. Неаутентифицированный клиент запрашивает Web-страницу с ограниченным доступом.
  2. Сервер реагирует, присылая ответ HTTP 401. Этот ответ включает nonce (для данного случая) значение — случайно сгенерированную последовательность байт. Web сервер гарантирует, что каждое такое значение будет уникальным.
  3. Клиент использует присланное значение, пароль, имя пользователя и ряд других значений, чтобы создать хеш. Это хешированное значение, известное как дайджест, отправляется обратно на сервер вместе с именем пользователя в виде открытого текста.
  4. Сервер использует nonce-значение, сохраненный пароль и имя пользователя, а также другие значения для создания хеша. Затем он сравнивает этот хеш с тем, что прислал клиент. Если они совпадают, значит, аутентификация прошла успешно.

Поскольку nonce-значение изменяется при каждом запросе аутентификации, оно не слишком полезно для злоумышленника. Исходный пароль не может быть извлечен из него. Аналогично, поскольку дайджест включает случайное значение, он не может быть использован для атак повтором, когда злоумышленик позднее пытается получить доступ, используя ранее перехваченный дайджест.

Теоретически дайджест-аутентификация является стандартной, и все Web-браузеры и Web-серверы должны быть в состоянии ее использовать для передачи аутентифицирующей информации. К сожалению,

предыдущая    следующая страница    вначало главы    оглавление

901

Hosted by uCoz