Взломщик может осуществить сниффинг данных в URL по HTTPS?
Я предполагаю, что означает форму, в котором пароле записаны в /etc/master.passwd то есть, вывод crypt(3) то, которое обычно является MD5, посолило хеш этой формы:
$1$salt$hash
PS: это - странный формат, который Вы заключаете в кавычки, поскольку в странице справочника FreeBSD на самом деле говорится это:
pw [−V etcdir] useradd [name|uid] [−C config] [−q] [−n name] [−u uid]
[−c comment] [−d dir] [−e date] [−p date] [−g group] [−G grouplist]
[−m] [−M mode] [−k dir] [−w method] [−s shell] [−o] [−L class]
[−h fd | −H fd] [−N] [−P] [−Y]
−H fd Read an encrypted password string from the specified file
descriptor. [...]
и в то время как "добавляют, что пользователь", кажется, псевдоним "useradd", дескриптор файла не является файлом, а числом (например, 1 stdout, 2 stderr).
Весь Запрос HTTP (и ответ) шифруется, включая URL.
Но да, существует способ, которым взломщик мог захватить полный URL: через заголовок Referer. Если существует какой-либо внешний файл (Javscript, CSS, и т.д.), который не является по HTTPS, полный URL мог быть сниффинговым в заголовке Referer. То же, если пользователь нажимает на ссылку на странице, которая приводит к HTTP (никакой SSL) страницу.
Кроме того, запросы DNS не шифруются, таким образом, взломщик мог знать, что пользователь идет в mysite.com.
Сохраните свои блоги безопасными, или, даже не пишите им. Если Вы получите удаленное использование, где журналы могут быть считаны, любые данные URL будут видимы в журналах.
Только если они могут осуществить сниффинг https автора посредством некоторого спуфинга
-
1хорошо его MiM для квитирования, но после того, как это просто осуществляет сниффинг, определенный инструмент, нет хомяка и хорька, что я вижу, что продемонстрированная вещь – Jimsmithkka 6 October 2010 в 08:47