[Java lista] http_auth
Laszlo.Marai at nokia.com
Laszlo.Marai at nokia.com
2007. Feb. 23., P, 13:47:30 CET
Hali!
>Ajjaj azt hiszem valamit elfelejtettem leirni :(
>
>Pls most ne kérdezzétek, hogy mi a fenének (nem én irtam a speckót a
>programra), de:
>Az elérni kivánt szerver eleve https kapcsolódást fogad csak.
Nagyon helyes. Mert ugye a cleartext pw-ot barki el tudna lopni
pont ugy, ahogy az elozo levelben leirtam.
>Nos erre van ráhúzva a http auth.
>Persze, ha valaki meg tudja figyelni (vagyis feltörni) a https
>kapcsolódást és le is hallgatja, akkor
>kétlem, hogy ez a http auth gondot okozna neki.
A http auth-tal azonositja a szerver a felhasznalot. A https a
te esetedben - ha jol ertem - csak titkositast biztosit. Ez ket
egymastol fuggetlen kerdes. (Persze lehet https-sel azonositani
is, ha minden kliens sajat certificate-tel rendelkezik.)
>Valóban az egy nagyon jó dolog lenne, hogy megfigyeljem, hogy
>a böngésző hogyan kódolja be a http auth-nak
>átadott nevet és jelszót.
Csinalj egy kiserleti szervert (https nelkul), es figyeld meg a
kapcsolodast azzal. Ahhoz tud kapcsolodni a programod? Ott
mindjart osszehasonlithatod a bongeszo es a programod altal
kuldott requestet. Kiserleti szervernek jo lehet az eles
szerver is, ha megis el lehet erni http-n keresztul,
vagy akar a jo oreg nc: kezzel osszeallitas egy megfelelo
http response-t (lasd a speckot, talan 401 a kodja), amire a
bongesoz bekeri a jelszot a juzertol, aztan lenaplozod a bongeszo
valaszat (lasd elozo level).
>Lehetséges, hogy a https miatt az egész átadás teljesen máshogy megy?
Nem.
Ba'ly,
Atleta
További információk a(z) Javalist levelezőlistáról