Se un server proxy richiede l'autenticazione e quel proxy comunica su HTTP, le credenziali sono inviate su testo normale al server proxy?
Se questo è il caso, non è possibile annusare i pacchetti e ottenere le credenziali?
Se un server proxy richiede l'autenticazione e quel proxy comunica su HTTP, le credenziali sono inviate su testo normale al server proxy?
Se questo è il caso, non è possibile annusare i pacchetti e ottenere le credenziali?
Dipende dal tipo di richiesta di autorizzazione da parte del proxy. Se questa è l'autenticazione di base, il nome utente è che le password sono trasferite in gran parte chiare (cioè base64) e quindi possono essere estratte annusando passivamente la connessione. Questo non è più vero con l'autenticazione del digest o NTLM, anche se in quest'ultimo caso ci sono altri attacchi per riutilizzare le informazioni di autenticazione.
Dipende da come il server proxy sta autenticando.
Se il server esegue l'autenticazione su hash, mentre invia password / nome utente verrà inviato un valore hash al server.
Il server controllerà la base del valore hash sul nome utente & parola d'ordine . In questo caso sarai un po 'al sicuro (con username e password forti).
Nel caso in cui utilizzi direttamente la password corrispondente a un nome utente. Di sicuro la tua password e il tuo nome utente possono essere annusati.
Quindi mi sento totalmente dipendente dal design e dall'implementazione.