Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-07-2023, 14:24 door Erik van Straten

Door Anoniem: Als je challenge zoals ik schreef de domeinnaam bevat, dan is dat niet mogelijk. Als je met "challenge" een door de server verzonden "bericht" bedoelt, dan zegt een domeinnaam daarin helemaal niets. Een AitM kan zelf gegevens "verzinnen" of correcte gegevens van de echte server doorsturen. Die AitM kan zo'n bericht ook ondertekenen met diens private key, maar ook daar heb je niets aan; de AitM kan alles vervalsen. WebAuthn lost het AitM-probleem op door in de response van de client o.a. de domeinnaam (door de browser geregistreerd) op te nemen, en de gehele response digitaal te ondertekenen met de private key van het WebAuthn sleutelpaar. Een AitM kan daar niets mee: • Als de AitM die response ongewijzigd doorstuurt naar de echte server, ziet die echte server (in de meeste gevallen [*]) een onjuiste domeinnaam; • Als de AitM de domeinnaam in de response wijzigt, klopt de digitale handtekening niet meer (die hoort de echte WebAuthn server te controleren, gebruikmakend van de public key ...

Beschrijf je klacht (Optioneel):

captcha