Le credenziali sono inviate tramite semplice testo al proxy HTTP?

0

Se un server proxy richiede l'autenticazione e quel proxy comunica su HTTP, le credenziali sono inviate su testo normale al server proxy?

Se questo è il caso, non è possibile annusare i pacchetti e ottenere le credenziali?

    
posta Kyle Falconer 12.02.2016 - 23:14
fonte

2 risposte

1

Dipende dal tipo di richiesta di autorizzazione da parte del proxy. Se questa è l'autenticazione di base, il nome utente è che le password sono trasferite in gran parte chiare (cioè base64) e quindi possono essere estratte annusando passivamente la connessione. Questo non è più vero con l'autenticazione del digest o NTLM, anche se in quest'ultimo caso ci sono altri attacchi per riutilizzare le informazioni di autenticazione.

    
risposta data 13.02.2016 - 08:07
fonte
1

Dipende da come il server proxy sta autenticando.

Se il server esegue l'autenticazione su hash, mentre invia password / nome utente verrà inviato un valore hash al server.

Il server controllerà la base del valore hash sul nome utente & parola d'ordine . In questo caso sarai un po 'al sicuro (con username e password forti).

Nel caso in cui utilizzi direttamente la password corrispondente a un nome utente. Di sicuro la tua password e il tuo nome utente possono essere annusati.

Quindi mi sento totalmente dipendente dal design e dall'implementazione.

    
risposta data 13.02.2016 - 14:05
fonte

Leggi altre domande sui tag