/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Base64-encoding
Fra : Jesper Stocholm


Dato : 29-09-01 11:01

Jeg har siddet og kigget på noget dokumentation af base64-encoding, hvor det
står, at det ofte bruges i forbindelse med afsendelse af passwords etc over
usikre netværk - dvs LANs, internet etc.

Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

 
 
Ole Michaelsen (29-09-2001)
Kommentar
Fra : Ole Michaelsen


Dato : 29-09-01 11:23

Jesper Stocholm wrote:
> Jeg har siddet og kigget på noget dokumentation af base64-encoding, hvor det
> står, at det ofte bruges i forbindelse med afsendelse af passwords etc over
> usikre netværk - dvs LANs, internet etc.
>
> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?

Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap, telnet,
mv, hvor man direkte kan aflæse adgangskoden.

Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning er
det netop Base64 kodning der bruges. Kan naturligvis brydes af enhver. Anvendes
"Digest" er det svjv MD5 der bruges. Desværre understøttes det ikke af alle
webbrowsere. Og man er stadig sårbar overfor et dictionaryattack, ligesom
du heller ikke kender nøglen til adgangskoderne i /etc/passwd - men du kan
godt bruteforce dem.

Vil du have din .htpasswd-beskyttede side sikker skal det nok smides igennem
en gang https.

Vh,

--
Ole Michaelsen
Copenhagen, Denmark

Jesper Stocholm (29-09-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 29-09-01 11:49

Ole Michaelsen wrote in
news:slrn9rb88j.gm.omic+usenet3@goddard.intra.orange.dk:

> Jesper Stocholm wrote:
>> Jeg har siddet og kigget på noget dokumentation af base64-encoding,
>> hvor det står, at det ofte bruges i forbindelse med afsendelse af
>> passwords etc over usikre netværk - dvs LANs, internet etc.
>>
>> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?
>
> Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap,
> telnet, mv, hvor man direkte kan aflæse adgangskoden.
>

ja ... hvilket netop er min pointe ... men sikkerheden i at anvende base64
er jo ikke bedre end fx ROT13 ... hvis man gerne (som ond bruger) vil have
adgang til passwords etc, så er det jo i dette tilfælde ubehageligt nemt.

> Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning
> er det netop Base64 kodning der bruges. Kan naturligvis brydes af
> enhver. Anvendes "Digest" er det svjv MD5 der bruges. Desværre
> understøttes det ikke af alle webbrowsere. Og man er stadig sårbar
> overfor et dictionaryattack, ligesom du heller ikke kender nøglen til
> adgangskoderne i /etc/passwd - men du kan godt bruteforce dem.
>

til gengæld er der jo ikke tale om, at man har adgang til en MD5^1-funktion
.... her skal der jo trods alt arbejdes en del for at opnå adgang til plain-
text passwordet.

> Vil du have din .htpasswd-beskyttede side sikker skal det nok smides
> igennem en gang https.
>

det var nu ikke min hensigt at anvende det til noget ... jeg var blot
usikker på, om der var noget i algoritmen jeg havde misfforstået.

OT:
jeg har læst lidt mere om funktionen nu, og som jeg læser det, så bruges den
også til at lave binære data om til afsendelse i emails etc (eller som
muliggørelse af håndtering af binære data i fx XML-dokumenter) ... dvs den
tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?
BASE64 giver - iflg RFC1521 - en forøgelse på i snit 33% ... hvor mit
forslag ... i hvert fald som jeg på ståennde fod kan vurdere det - giver en
1-1 afbildning.

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Kent Friis (29-09-2001)
Kommentar
Fra : Kent Friis


Dato : 29-09-01 13:05

Den Sat, 29 Sep 2001 10:49:07 +0000 (UTC) skrev Jesper Stocholm:
>Ole Michaelsen wrote in
>news:slrn9rb88j.gm.omic+usenet3@goddard.intra.orange.dk:
>
>> Jesper Stocholm wrote:
>>> Jeg har siddet og kigget på noget dokumentation af base64-encoding,
>>> hvor det står, at det ofte bruges i forbindelse med afsendelse af
>>> passwords etc over usikre netværk - dvs LANs, internet etc.
>>>
>>> Men er der nogen reel fidus i dette ... "nøglen" er jo kendt af alle ?
>>
>> Tja, adgangskoderne er trodsalt bedre beskuttet end ved pop3, imap,
>> telnet, mv, hvor man direkte kan aflæse adgangskoden.
>>
>
>ja ... hvilket netop er min pointe ... men sikkerheden i at anvende base64
>er jo ikke bedre end fx ROT13 ... hvis man gerne (som ond bruger) vil have
>adgang til passwords etc, så er det jo i dette tilfælde ubehageligt nemt.
>
>> Anvender man "Basic" identifikation i en .htaccess/.htpasswd opsætning
>> er det netop Base64 kodning der bruges. Kan naturligvis brydes af
>> enhver. Anvendes "Digest" er det svjv MD5 der bruges. Desværre
>> understøttes det ikke af alle webbrowsere. Og man er stadig sårbar
>> overfor et dictionaryattack, ligesom du heller ikke kender nøglen til
>> adgangskoderne i /etc/passwd - men du kan godt bruteforce dem.
>>
>
>til gengæld er der jo ikke tale om, at man har adgang til en MD5^1-funktion
>... her skal der jo trods alt arbejdes en del for at opnå adgang til plain-
>text passwordet.
>
>> Vil du have din .htpasswd-beskyttede side sikker skal det nok smides
>> igennem en gang https.
>>
>
>det var nu ikke min hensigt at anvende det til noget ... jeg var blot
>usikker på, om der var noget i algoritmen jeg havde misfforstået.
>
>OT:
>jeg har læst lidt mere om funktionen nu, og som jeg læser det, så bruges den
>også til at lave binære data om til afsendelse i emails etc (eller som
>muliggørelse af håndtering af binære data i fx XML-dokumenter) ... dvs den
>tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
>man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?
>BASE64 giver - iflg RFC1521 - en forøgelse på i snit 33% ... hvor mit
>forslag ... i hvert fald som jeg på ståennde fod kan vurdere det - giver en
>1-1 afbildning.

Det du snakker om er binær overførsel.

Ascii er kun 7 bit (128 tegn), og de første 32 (0-31) er kontrolkoder.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Bertel Lund Hansen (29-09-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 29-09-01 13:05

Jesper Stocholm skrev:

>tager de binære data og laver dem om til en tekst-streng. Men hvorfor tager
>man ikke blot grupper af 8bits og anvender den dertil hørende ASCII-værdi ?

Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
data gennem systemer der ikke kan garantere andet end at 7-bit
data overlever. Derfor folder man data op i et 'sikkert' område
via en spøjs tabel.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Jesper Stocholm (27-01-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 27-01-02 16:49

Bertel Lund Hansen wrote in
news:91ebrtcid1oroba2t6q7d9gnu5e8339sg1@news.stofanet.dk:

> Jesper Stocholm skrev:
>
>>tager de binære data og laver dem om til en tekst-streng. Men hvorfor
>>tager man ikke blot grupper af 8bits og anvender den dertil hørende
>>ASCII-værdi ?
>
> Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
> data gennem systemer der ikke kan garantere andet end at 7-bit
> data overlever. Derfor folder man data op i et 'sikkert' område
> via en spøjs tabel.
>

Kan du give eksempler på sådanne netværk ?

Jeg kan sige, at vi er kommet til at diskutere noget lignende i
dk.edb.internet.webdesign.serverside.asp .

Udvalgte headerlinier fra start-indlæg:

Subject: BinaryWrite : Hvad er formålet ?
Date: Fri, 25 Jan 2002 13:35:46 +0000 (UTC)
Message-ID: <Xns91A19477C58B2spamstocholmdk@130.226.1.34>

:)

--
Jesper Stocholm - http://stocholm.dk

Synes du også, at Britney trods alt er meget lækker - men dog
på grænsen til det kvalmende ? http://stocholm.dk/britney.txt

Kent Friis (27-01-2002)
Kommentar
Fra : Kent Friis


Dato : 27-01-02 21:48

Den Sun, 27 Jan 2002 15:48:38 +0000 (UTC) skrev Jesper Stocholm:
>Bertel Lund Hansen wrote in
>news:91ebrtcid1oroba2t6q7d9gnu5e8339sg1@news.stofanet.dk:
>
>> Jesper Stocholm skrev:
>>
>>>tager de binære data og laver dem om til en tekst-streng. Men hvorfor
>>>tager man ikke blot grupper af 8bits og anvender den dertil hørende
>>>ASCII-værdi ?
>>
>> Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
>> data gennem systemer der ikke kan garantere andet end at 7-bit
>> data overlever. Derfor folder man data op i et 'sikkert' område
>> via en spøjs tabel.
>>
>
>Kan du give eksempler på sådanne netværk ?

Ikke et egentlig netværk, men SMTP garanterer faktisk kun syv bit.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

Niels Andersen (28-01-2002)
Kommentar
Fra : Niels Andersen


Dato : 28-01-02 13:46

"Jesper Stocholm" <spam200201@stocholm.dk> wrote in message
news:Xns91A3AAE9CC828spamstocholmdk@130.226.1.34...
> > Fordi Base64 og lignende koder er udviklet til at mosle 8-bit
> > data gennem systemer der ikke kan garantere andet end at 7-bit
> > data overlever. Derfor folder man data op i et 'sikkert' område
> > via en spøjs tabel.
> Kan du give eksempler på sådanne netværk ?

Email og usenet.

Ting, der egentlig er beregnet til tekst. Det kunne altså være et
browser-baseret diskussionsforum, der har jeg bare aldrig set det brugt.

--
Mvh.

Niels Andersen



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste