Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-07-2023, 16:16 door Anoniem

Door Erik van Straten: Door Anoniem: Als je challenge zoals ik schreef de domeinnaam bevat, dan is dat niet mogelijk. Als je met "challenge" een door de server verzonden "bericht" bedoelt, dan zegt een domeinnaam daarin helemaal niets. Een AitM kan zelf gegevens "verzinnen" of correcte gegevens van de echte server doorsturen. Die AitM kan zo'n bericht ook ondertekenen met diens private key, maar ook daar heb je niets aan; de AitM kan alles vervalsen. Ja die kan wel zoveel doen, maar dan kun je niet inloggen en de aanvaller kan niets met wat ie verzamelt. Immers als die de challenge aanpast dan zal jouw browser de response voor die aangepaste challenge sturen en die is ongeldig als antwoord op de door de echte site gestuurde challenge. De truuk is juist dat je uit die response niet het wachtwoord terug kunt rekenen. Maar zoals ik al zei: het is vast wel opgelost (door buzzword-van-de-dag). Alleen de uitrol naar alle websites waarop moet worden ingelogd, die komt er uiteraard niet.

Beschrijf je klacht (Optioneel):

captcha