Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-07-2023, 13:31 door Anoniem

Door Erik van Straten: Het grootste probleem is sowieso niet dat een aanvaller jouw wachtwoord in handen krijgt, maar dat zij of hij éénmalig als jou kan inloggen. In Windows wordt gebruikt wat jij voorstelt, met als gevolg PtH (Pass the Hash) aanvallen. Als je challenge zoals ik schreef de domeinnaam bevat, dan is dat niet mogelijk. Jouw browser logt niet in bij de hacker site omdat de domeinnaam niet matched tussen challenge en site, en als hij de challenge stuurt met bij hem zelf passende domeinnaam dan is die uitwisseling niet geldig met de originele site. Bij Windows zit dat anders omdat het daar niet om server logons maar om domain logons gaat, en servers een domain kunnen representeren. Dat speelt niet bij het web, of in ieder geval niet op het level waar hackers de boel kunnen overnemen. (het systeem zou nog zo kunnen werken dat een logon bij server1.example.com ook valid is voor server2.example.com, maar niet dat iemand een server3.example.org kan opzetten die logons doet voor ...

Beschrijf je klacht (Optioneel):

captcha