HTTP/Authentifizierung: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „Kurzbeschreibung“ durch „Beschreibung“ |
||
| (15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''topic''' - Beschreibung | |||
== Beschreibung == | |||
; Stellt der Webserver fest, dass für eine angeforderte Datei Benutzername oder Passwort nötig sind | ; Stellt der Webserver fest, dass für eine angeforderte Datei Benutzername oder Passwort nötig sind | ||
[[Datei:Http auth iw 10.png|mini|HTTP-Authentifizierung]] | [[Datei:Http auth iw 10.png|mini|HTTP-Authentifizierung]] | ||
| Zeile 4: | Zeile 6: | ||
* Dieser prüft, ob die Angaben vorliegen, oder präsentiert dem Anwender einen Dialog, in dem Name und Passwort einzutragen sind, und überträgt diese an den Server. | * Dieser prüft, ob die Angaben vorliegen, oder präsentiert dem Anwender einen Dialog, in dem Name und Passwort einzutragen sind, und überträgt diese an den Server. | ||
* Stimmen die Daten, wird die entsprechende Seite an den Browser gesendet. | * Stimmen die Daten, wird die entsprechende Seite an den Browser gesendet. | ||
Es wird nach RFC 2617 unterschieden in: | |||
; Basic Authentication: Die Basic Authentication ist die häufigste Art der HTTP-Authentifizierung. | ; Basic Authentication: Die Basic Authentication ist die häufigste Art der HTTP-Authentifizierung. | ||
* Der Webserver fordert eine Authentifizierung an, der Browser sucht daraufhin nach Benutzername/Passwort für diese Datei und fragt gegebenenfalls den Benutzer. | * Der Webserver fordert eine Authentifizierung an, der Browser sucht daraufhin nach Benutzername/Passwort für diese Datei und fragt gegebenenfalls den Benutzer. | ||
| Zeile 12: | Zeile 15: | ||
* Der Browser berechnet den [[Hashcode]] der gesamten Daten (Benutzername, Passwort, erhaltener Zeichenfolge, HTTP-Methode und angeforderter [[Uniform Resource Identifier|URI]]) und sendet sie im Authorization-Header zusammen mit dem Benutzernamen und der zufälligen Zeichenfolge zurück an den Server, der diese mit der selbst berechneten Prüfsumme vergleicht. | * Der Browser berechnet den [[Hashcode]] der gesamten Daten (Benutzername, Passwort, erhaltener Zeichenfolge, HTTP-Methode und angeforderter [[Uniform Resource Identifier|URI]]) und sendet sie im Authorization-Header zusammen mit dem Benutzernamen und der zufälligen Zeichenfolge zurück an den Server, der diese mit der selbst berechneten Prüfsumme vergleicht. | ||
* Ein Abhören der Kommunikation nützt hier einem Angreifer nichts, da sich aufgrund der verwendeten [[Kryptologische Hashfunktion|kryptologischen Hashfunktion]] aus dem Hashcode die Daten nicht rekonstruieren lassen und für jede Anforderung anders lauten. | * Ein Abhören der Kommunikation nützt hier einem Angreifer nichts, da sich aufgrund der verwendeten [[Kryptologische Hashfunktion|kryptologischen Hashfunktion]] aus dem Hashcode die Daten nicht rekonstruieren lassen und für jede Anforderung anders lauten. | ||
*Authentication is any process by which you verify that someone is who they claim they are. Authorization is any process by which someone is allowed to be where they want to go, or to have information that they want to have. For general access control, see the Access Control How-To. | |||
** Related Modules and Directives | |||
** Introduction | |||
** The Prerequisites | |||
** Getting it working | |||
** Letting more than one person in | |||
** Possible problems | |||
** Alternate password storage | |||
** Using multiple providers | |||
** Beyond just authorization | |||
** Authentication Caching | |||
** More information | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Links ==== | |||
===== Weblinks ===== | |||
[[Kategorie:HTTP]] | |||
[[Kategorie:Apache/HTTP/Sicherheit]] | |||
</noinclude> | |||
[[Kategorie:HTTP]] | [[Kategorie:HTTP]] | ||
[[Kategorie:Apache/HTTP/Sicherheit]] | |||
</noinclude> | |||
Aktuelle Version vom 19. Oktober 2024, 13:28 Uhr
topic - Beschreibung
Beschreibung
- Stellt der Webserver fest, dass für eine angeforderte Datei Benutzername oder Passwort nötig sind
- meldet er das dem Browser mit dem Statuscode 401 Unauthorized und dem Header WWW-Authenticate.
- Dieser prüft, ob die Angaben vorliegen, oder präsentiert dem Anwender einen Dialog, in dem Name und Passwort einzutragen sind, und überträgt diese an den Server.
- Stimmen die Daten, wird die entsprechende Seite an den Browser gesendet.
Es wird nach RFC 2617 unterschieden in:
- Basic Authentication
- Die Basic Authentication ist die häufigste Art der HTTP-Authentifizierung.
- Der Webserver fordert eine Authentifizierung an, der Browser sucht daraufhin nach Benutzername/Passwort für diese Datei und fragt gegebenenfalls den Benutzer.
- Anschließend sendet er die Authentifizierung mit dem Authorization-Header in der Form Benutzername:Passwort Base64-codiert an den Server.
- Base64 bietet keinen kryptographischen Schutz, daher kann dieses Verfahren nur beim Einsatz von HTTPS als sicher angesehen werden.
- Digest Access Authentication
- Bei der Digest Access Authentication sendet der Server zusätzlich mit dem WWW-Authenticate-Header eine eigens erzeugte zufällige Zeichenfolge (Nonce).
- Der Browser berechnet den Hashcode der gesamten Daten (Benutzername, Passwort, erhaltener Zeichenfolge, HTTP-Methode und angeforderter URI) und sendet sie im Authorization-Header zusammen mit dem Benutzernamen und der zufälligen Zeichenfolge zurück an den Server, der diese mit der selbst berechneten Prüfsumme vergleicht.
- Ein Abhören der Kommunikation nützt hier einem Angreifer nichts, da sich aufgrund der verwendeten kryptologischen Hashfunktion aus dem Hashcode die Daten nicht rekonstruieren lassen und für jede Anforderung anders lauten.
- Authentication is any process by which you verify that someone is who they claim they are. Authorization is any process by which someone is allowed to be where they want to go, or to have information that they want to have. For general access control, see the Access Control How-To.
- Related Modules and Directives
- Introduction
- The Prerequisites
- Getting it working
- Letting more than one person in
- Possible problems
- Alternate password storage
- Using multiple providers
- Beyond just authorization
- Authentication Caching
- More information