Kerberos Autenticazione IIS su HTTP

1

Ho esaminato le RFC e ho una certa familiarità con Kerberos.

Mi sembra che su un collegamento non crittografato (HTTP), Kerberos non perda la password dell'utente (o sfida / risposta basata sull'hash come NTLMv1 / v2) e / o sia suscettibile a un attacco di risposta.

In un'implementazione progettata correttamente di Kerberos, l'autenticazione HTTP è considerata sicura su un collegamento non crittografato?

    
posta Nash Rajao 19.04.2017 - 09:20
fonte

1 risposta

2

L'autenticazione Kerberos su HTTP incapsula il ticket Kerberos all'interno un token SPNEGO e non espone le credenziali dell'utente. L'attacco di replica viene interrotto dagli autenticatori . Ma esiste la possibilità di eseguire un attacco MITM attivo nel caso in cui si impedisca al server di ricevere l'autenticatore acquisito. Per ulteriori dettagli, consulta questo articolo.

    
risposta data 19.04.2017 - 16:55
fonte

Leggi altre domande sui tag