Arn*_*aud 7 security authentication cookies couchdb
我在CouchDB中已经阅读了很多关于身份验证的内容,特别是有关Cookie身份验证的内容.我仍在进行一些测试,似乎一切运行良好,例如使用此命令:
curl -vX POST $ HOST/_session -H'application/x-www-form-urlencoded'-d'name = foo&password = bar'
我得到了一个可以使用的Cookie.但我的观点是,每当我看到Web上的样本时,用户名和密码总是以纯文本形式发送.
我真的很擅长安全性,但如果我首先必须明确发送我的凭据,那么Cookie Auth方法的兴趣是什么?
有没有办法发送至少密码哈希?有类似IDK的东西:
curl -vX POST $ HOST/_session -H'application/x-www-form-urlencoded'-d'name = foo&hashed_password = hashed_bar'
干杯
阿尔诺
Zed*_*Zed 11
如果您发送的密码是哈希值,那么攻击者需要知道的是您的哈希密码,因此无法解决以明文形式发送密码的问题 - 现在您将遇到以明文形式发送哈希的问题.
还要记住,即使这解决了问题,你仍然会以明文形式发送你的cookie容易受到会话劫持的攻击.
(还有HTTP摘要访问身份验证,但并非没有自己的问题 - 但CouchDB上次检查时都不支持它.)
您应该做的是始终使用HTTPS进行任何经过身份验证的CouchDB访问,除了可能是127.0.0.0网络之外.
(是的,几乎所有网络和书籍中的示例都显示使用基于HTTP的基本或cookie身份验证,在我看来这是一场等待发生的灾难.)
| 归档时间: |
|
| 查看次数: |
3488 次 |
| 最近记录: |