论坛首页 综合技术论坛

关于Erlang MagicCookie 的安全问题

浏览 7666 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2007-10-22  
mryufeng 写道
cookie不是明文传送的 是cooke和node的信息 参与md5後在网络传输的 所以不用担心泄密。

http://mryufeng.iteye.com


那我截获了某个节点发送的MD5结果以后,还是可以伪装成那个节点的. 虽然伪装IP/MAC可能有些难度,但是先通过攻击把那个节点撂倒,再伪装,也是有可能的.
0 请登录后投票
   发表时间:2007-10-22  
应该说erlang就没有考虑跨广域网的安全问题吧,erlang所开发的系统也应该主要是运行在一个企业的内部高速局域网中。

歆渊 写道
mryufeng 写道
cookie不是明文传送的 是cooke和node的信息 参与md5後在网络传输的 所以不用担心泄密。

http://mryufeng.iteye.com


那我截获了某个节点发送的MD5结果以后,还是可以伪装成那个节点的. 虽然伪装IP/MAC可能有些难度,但是先通过攻击把那个节点撂倒,再伪装,也是有可能的.
0 请登录后投票
   发表时间:2007-10-23  
gen_challenge() ->
    {A,B,C} = erlang:now(),
    {D,_}   = erlang:statistics(reductions),
    {E,_}   = erlang:statistics(runtime),
    {F,_}   = erlang:statistics(wall_clock),
    {G,H,_} = erlang:statistics(garbage_collection),
    %% A(8) B(16) C(16)
    %% D(16),E(8), F(16) G(8) H(16)
    ( ((A bsl 24) + (E bsl 16) + (G bsl + F) bxor
      (B + (C bsl 16)) bxor
      (D + (H bsl 16)) ) band 16#ffffffff.

产生的challenge完全是每次都不同的 从你的角度来看没有加密方式是不可破解的 我截获他的报文 知道他的算法 我当然能够冒充他了, 就算SSL又如何。 另外erlang是支持 inet_ssl_dist 的。 消息传递是可以ssl保护的。
0 请登录后投票
论坛首页 综合技术版

跳转论坛:
Global site tag (gtag.js) - Google Analytics