Исходное сообщение
"Подключение виртуальной базы пользователей к Dovecot с CRAM-..." Отправлено Гайбруш Трипвуд, 16-Ноя-09 11:22
Посмотрим на такой алгоритм аутентификации имени меня. - сервер посылает случайное число challenge - клиент вычисляет некое x = H1(challenge, H2(password)), H1 и H2 - криптохеш-функции и посылает на сервер. - сервер делает то же самое, только с хранящимся на сервере паролем и сравнивает Видно, что это некий абстрактный cram-md5. Так вот, хитрющий довекот хранит у себя dovecot_hash=H2(password), чтобы не вычислять его каждый раз. Если файл с хешами попадет к нехорошему человеку, он при аутентификации сможет вычислить x = H1(challenge, dovecot_hash) и авторизоваться. > а теперь вопрос - зная хеш пароля куда я его буду пихат ????????????? Я уже говорил, что нужно посмотреть, что именно довекот может вычислить без знания challenge (т.е. H2), и тогда можно будет определить формулу для злоумышленника.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке: