《HTTP权威指南》第十三章学习总结--摘要认证
**定个小目标,吃透这本书,每天最少一章 CSDN 见**
- 摘要认证的改进
摘要认证是一种HTTP认证协议,它试图修复基本认证协议的验证缺陷。
它进行了如下改正:
永远不会以明文方式在网络上发送密码
可以防止恶意用户捕获并重放认证的握手过程。
可以有选择的防止对报文内容的篡改
防止其他几种创建的攻击方式。
下面是摘要认证的密码保护
常见的摘要函数MD5,会将任意长度字节序转换为一个128位的摘要,通常被写成32个十六进制的字符。这样的算法是不可逆的。
摘要认证的可信就是对公共信息,报名信息和有限的随机值这个组合的单向摘要 - 摘要算法
预授权:在普通的认证方式中,事务结束之前,每条请求都要有一次请求/质询的循环,如果客户端实现知道下一次随机数是什么,就可以取消这个请求/质询循环,这样客户端就可以在服务器发出请求之前,生成正确的Authorization首部了。 - 增强保护质量
可以在3正摘要首部中提供qop字段:WWW-Authenticate,Authorization和Authentication-Info.
通过qop字段,客户端和服务器可以对不同类型质量的保护进行协商。比如,即便会验证降低传输速度,有些事务可能也要检查报文主体的完整性。
如果使用了完整性保护(qop=“auth-int”),H(实体的主体部分)就是对实体主体部分,而不是报文主体部分的散列。对于发送者,要应用任意传输编码方式之前计算;而对于接受者,则应在去掉除多有传输编码之后计算。注意:对于任何含有多部分内容类型来说,多部分的编辑和没部分中嵌入的首部都要包含在内。 - 应该考虑的实际问题
多重质询:服务器可以对某个资源发起多重质询。比如,如果服务器不了解客户端的能力,就可以及提供基本认证质询,有提供摘要认证质询。客户端面对多重质询时,必须以它所支持的最强质询机制来应答。
差错处理:在照耀认证中如果某个指令或其值使用不当,或者缺少某个必要指令,就应该用响应400.
保护空间:域值可以将服务器上的受保护资源划分为一组保护空间,每个空间。通过域可以将服务器上的受保护资源划分为一组保护空间,每个空间都有字节的认证机制和 / 或授权数据库。
重写URL:代理可以通过改变URI语法,而不改变所描述的实际资源的方法来重写URI。 - 安全性考虑
首部篡改:为了提供一个简单明了的防首部篡改系统,要么就得进行端到端的加密,要么就得对首部进行数字签名–最好是两者的结合!照耀认证的重点在于提供一种篡改认证的机制,但并不一定要将这种保护扩展到数据上去。
重放攻击:在当前的上下文中,重放攻击是指由人将从某个事务中窃取的认证证书用于另一个事务。尽管对GET请求来说这也是个问题,但是POST和PUT请求提供一种简单的方式来避免重放攻击才是非常重要的
多重认证机制:服务器支持多重认证机制时,通常会在WWW-Authenticate首部提供选项。由于没有要求客户端选择功能最强的认证机制,所以得到的认证效果就和功能最弱的认证方案差不多。要避免出现这个问题,最之间的方法就是让客户端总是去选择可用认证方案种功能最强的按个。如果无法实现,惟一的选择就是使用一个只维护最强认证方案的代理服务器。
词典攻击:词典攻击是经典的密码猜测攻击。恶意用户对某个事务进行监听,并对随机数 / 响应对使用标准密码猜测程序。
恶意代理攻击和中间人攻击:现在很多英特尔网流量都会在这个或那个地方流经某个代理。随着重定向技术和拦截代理的出现,用户甚至都以实不到它请求穿过了某个代理。如果这些代理种由一个是恶意的或者容易入侵的,就会使客户端置于中间人攻击之下。防止这些攻击的惟一简便方式就是使用SSL。
选择明文攻击:使用摘要认证的客户端会使用服务器提供的随机数来生成响应。但如果中间有一个被入侵的或者恶意的代理在拦截流量,就可以很容易的为客户端的响应计算提供随机数。是已知密钥来技术按响应可以简化响应的密码反向过程。这种方式被称为选择名为攻击。
存储密码:摘要认证机制将对比用户响应于服务器内部存储的内容–通常就是用户名和H(A1)元组对,其中H(A1)是用户名,域和密码的摘要中导出的。
《HTTP权威指南》第十三章学习总结--摘要认证相关推荐
- 《果壳中的C# C# 5.0 权威指南》 (09-26章) - 学习笔记
<果壳中的C# C# 5.0 权威指南> ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahar ...
- 《果壳中的C# C# 5.0 权威指南》 (01-08章) - 学习笔记
<果壳中的C# C# 5.0 权威指南> ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahar ...
- 《HTTP权威指南》第一章学习总结
吃透HTTP权威指南 第一章 定个小目标,吃透这本书,每天最少一章 CSDN 见 HTTP 因特网的多媒体信使 这一小节没啥好说的···一些基本的介绍 Web客户端和服务器 Web服务器一般被称为HT ...
- HTML5 权威指南第 10 章 文档分节 学习笔记
HTML5 权威指南第 10 章 文档分节 学习笔记 第 8 章 标记文字 内容从从文字出发,专注如何将单体内容正确的呈现出来:第 9 章 组织内容 内容从段落出发,专注如何将单体内容合理的放在段落中 ...
- 《Hadoop权威指南》第二章 关于MapReduce
<Hadoop权威指南>第二章 关于MapReduce 目录 使用Hadoop来数据分析 横向扩展 注:<Hadoop权威指南>重点学习摘要笔记 1. 使用Hadoop来数据分 ...
- JavaScript权威指南 第11章JavaScript标准库
JavaScript权威指南 第11章JavaScript标准库 第11章 JavaScript标准库 11.1 集合与映射 11.1.1 Set类 11.1.2 Map类 11.1.3 WeakMa ...
- JavaScript权威指南 第15章 网络编程 第三部分
JavaScript权威指南 第15章 网络编程 第三部分 可伸缩矢量图形 15.7.1 在HTML中使用SVG 15.7.2 编程操作SVG 15.7.3 通过JavaScript创建SVG图片 1 ...
- Kubernetes单机创建MySQL+Tomcat演示程序:《Kubernetes权威指南》第一章demo报错踩坑
欢迎访问我的个人博客:https://midoq.github.io/ 引言 最近做边缘计算项目,因为没有基础,所以首先学习Kubernetes.感觉系统的中文入门资料比较少,只找到<Kuber ...
- 游戏感:虚拟感觉的游戏设计师指南——第十三章 超级马里奥兄弟
这是一本游戏设计方面的好书 转自天:天之虹的博客:http://blog.sina.com.cn/jackiechueng 感谢天之虹的无私奉献 Word版可到本人的资源中下载 第十三章超级马里奥兄弟 ...
最新文章
- 滴滴叶杰平:年运送乘客百亿次,AI如何“服务”出行领域?| BDTC 2019
- ELK/EFK — 安装部署(主机安装)
- oracle 快速复制一张表,并在此创建索引,日志及并行度
- dede mysql x_认识Dede的mysql数据库结构功能
- CSS教程:li和ul标签用法举例
- IOS UIAlertController 使用方法
- 2015-01-14
- java 输入任何字符继续_Thinking in Java 4th chap13笔记-字符串
- selenium 控制ie_牛鹭学院:selenium入门基础及中级进阶
- Python版双链表结构与有关操作
- 【makefile系列】全平台编译脚本makefile
- html鼠标滑过带音效,HTML5带音效的交互式日食动画
- 一个hitbernate配置文件,带几个表(注意mapping);如果连接字符串没有设置utf-8,向insert mysql 会产生乱码(utf8 或 utf-8)...
- 项目启动 Injection of autowired dependencies failed
- mysql 判断语句_mysql条件判断语句讲解
- 咖世家咖啡与瑞士莲首度跨界合作,打造联名快闪店
- 2022年起重机械指挥特种作业证考试题库及答案
- Uber vs. Lyft
- 偶然看到的一篇文章中的励志诗
- MIUI10系统完美刷成开发版获取root超级权限的教程