Free Trial

Safari Books Online is a digital library providing on-demand subscription access to thousands of learning resources.

Share this Page URL
Help

17.3 Die HTTP-Basic-Authentifizierung > 17.3 Die HTTP-Basic-Authentifizierung - Pg. 460

Authentifizierung mit PHP und MySQL implementieren Die Basic-Authentifizierung überträgt den Namen und das Passwort eines Benutzers unverschlüsselt, ist also nicht besonders sicher. HTTP 1.1 enthält eine sicherere Methode namens Digest-Authentifizierung, die einen Hash- Algorithmus (meist MD5) verwendet, um die Details der Transaktion zu verschleiern. Die Digest-Authentifizierung wird von vielen Webservern und den meisten aktuellen Webbrowsern unterstützt. Leider gibt es, wie es bei vielen erst kürzlich implementierten Merkmalen der Fall ist, viele ältere Browser, die immer noch eingesetzt werden und die Digest-Authentifizie- rung nicht unterstützen; hinzu kommt, dass die in einigen Varianten von Microsoft Internet Explorer und IIS enthaltenen Versionen des Standards nicht mit Produkten kompatibel sind, die nicht von Microsoft stammen. Die Digest-Authentifizierung wird aber nicht nur von einer (unbedeuten- den) Anzahl von Webbrowsern schlecht unterstützt, sondern ist auch nicht besonders sicher. Sowohl die Basic- als auch die Digest-Authentifizierung bieten nur ein geringes Maß an Sicherheit. Keine der beiden Varianten gewährleistet dem Benutzer, dass er es mit genau dem System zu tun hat, auf das er zugreifen wollte. Beide gestatten es dem Cracker, eine bereits gestellte Anforderung an den Server zu wiederholen (Replay-Angriff). Da die Basic-Authentifizierung das Passwort des Benutzers unverschlüsselt überträgt, kann ein Cracker, der zuvor entsprechende Pakete abgefangen hat, die Identität des Benutzers übernehmen und in seinem Namen belie-