Zdaję sobie sprawę, że to pytanie jest subiektywne.SSH: Czy podczas logowania hasło to zwykły tekst/sniffable?
Ciekawi mnie zrozumiałość hasła SSH po utworzeniu tunelu SSH. Czy bezpieczna sesja rozpoczyna się po uwierzytelnieniu hasła lub czy samo hasło jest hermetyzowane w tym bezpiecznym połączeniu?
Po interesującej debacie w biurze dziś rano i oprócz możliwości złamania hasła SSH na kliencie z keyloggerem, jestem ciekawy, że hasło SSH może również zostać naruszone za pomocą wąchania pakietów narzędzia w sieci LAN lub zainstalowane na dowolnym proxy między klientem a serwerem. To otworzyło szerszą debatę na temat mądrości logowania do prywatnych usług (takich jak domowy NAS lub e-mail) przez tunel SSH, podczas gdy zalogowano się do klienta działającego za/pośrednim proxy/ami. (np. w pracy), szczególnie z twierdzeniami, że narzędzia takie jak Ettercap są w stanie szpiegować w pakiety SSH.
Zakładam, że te same uwagi można rozważyć w przypadku protokołu SSL/HTTPS, gdy witryna nie analizuje hasła w jednokierunkowy skrót, taki jak MD5?
Twoje rozważania będą najbardziej docenione.
Dzięki.
To nie jest pytanie programistyczne. – Raoul
Jeśli chodzi o HTTPS, są podobne pytania: http://stackoverflow.com/questions/3911906/encrypting-http-post-data/3923617#3923617 i http://stackoverflow.com/questions/3837989/sending-sensitive-data -as-a-zapytanie-string-parametr/3840144 # 3840144. Całe żądanie wysyłane jest za pośrednictwem protokołu SSL/TLS (w tym ścieżka żądania, nagłówki i treść). Transmisja hasła jest chroniona, nawet jeśli jest wysłana w sposób jasny (za pośrednictwem formularza lub HTTP Basic). – Bruno
Powinienem wyjaśnić, co właśnie powiedziałem: "Transmisja hasła jest chroniona, nawet jeśli jest wysłana w jasny sposób", przez to rozumiem, nawet jeśli hasło nie jest szyfrowane w warstwie aplikacji (uwierzytelnianie HTTP Basic jest po prostu kodowanie i hasła wpisane w formularzach są wysyłane w postaci danych formularza). Efektywnie nie jest wysyłany w sposób jasny, właśnie dlatego, że wszystko odbywa się za pośrednictwem protokołu SSL/TLS (jak zwykle, jeśli są używane odpowiednie zestawy algorytmów szyfrowania). – Bruno