Abuse Melding

Je hebt een klacht over de onderstaande posting:

13-07-2023, 20:37 door Anoniem

Door Erik van Straten: Door Anoniem: Door Erik van Straten: 12-07-2023, 16:16 door Anoniem: De truuk is juist dat je uit die response niet het wachtwoord terug kunt rekenen. Dat is nauwelijks relevant als de aanvaller de huidige sessie gekaapt heeft (zoals ik al schreef). Ja maar de aanvaller kan de sessie niet kapen door te rommelen met de challenge (zoals ik al schreef). Als dat zou kloppen, kun je het wachtwoord plain-text verzenden (wat daarna sowieso gebeurt met het session-cookie o.i.d.). Wat is je punt? Je kunt het plain-text wachtwoord (als aanvaller) niet weten, want dat is niet af te leiden uit de challenge en daarop verzonden response. Het zou wel buitengewoon dom zijn om het vervolgens in een cookie te zetten.

Beschrijf je klacht (Optioneel):

captcha