Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-10-2021, 15:22 door Erik van Straten

Door Briolet: Om in te loggen gebruiken veel websites JS om je wachtwoord gehashed en gesalten naar de server te sturen. Die sites doen dat dan fout. Door Briolet: Dan is de inlog zelfs over een http verbinding redelijk beveiligd. Attack: pass the hash (een passieve afluisteraar kan daarmee opnieuw inloggen zonder jouw wachtwoord te kennen of te hoeven "kraken"). Maar sowieso kan een actieve MitM dan in de huidige sessie alles doen wat jij kan. En het session-cookie blijven gebruiken als jij denkt dat je bent uitgelogd. Bovendien kan een MitM de door de server verzonden Javascript hashfunctie eruitslopen en zo jouw plain-text wachtwoord in handen krijgen. Ten slotte zou je iets als Argon2 of PBKDF2 moeten gebruiken, maar als je dat soort bewust "langzame" (resource intensive) algoritmes in Javascript implementeert (uitgevoerd door browsers) wordt dat extreem traag. Je zou "vóór-hashen" in browsers kunnen overwegen, maar dat is niet zonder risico's (zie "Pre-Hashing Passwords" in ...

Beschrijf je klacht (Optioneel):

captcha