Aufbohren des MD5-JS-Login zum CRDA (Challenge Response Digest Authentication):
(22:07:33) jedie: Was ist wenn ich das komplette Password als MD5 auf dem Server ablege... Beim Client wird die eingabe des Passworts auch erstmal nur eine MD5 erzeugt... Dann wird die RND Zahl angeheftet und wieder eine MD5 erzeugt... Diese geht dann an den Server... (22:07:47) jedie: Nun ist die Frage, ob der Sever die MD5 verifizieren kann... (22:08:05) jedie: in dem er die MD5 + die RND zu einer neuen MD5 berechnet... (22:08:45) kiesner: Du musst dann halt aber eben das Kennwort auf eine gewisse L?nge padden. (22:09:04) kiesner: Sprich: im Client paddest Du das Kennwort auf n*8 bytes, bildest die MD5-Summe, und steckst dann noch mal 8 bytes rein. (22:09:08) kiesner: Auf dem Server das gleiche. (22:09:18) kiesner: Das ist replay-sicher. (22:09:51) kiesner: Du legst den MD5-Hash einfach mit den n*8 bytes ab. (22:10:21) jedie: Das ist eigentlich eine bessere Möglichkeit als die ich jetzt hab... Ich wusste vorher nicht, das man das mit MD5 auch so machen kann... (22:10:36) kiesner: Das Standardmodul MD5 kann zwar keinen anderen IV nehmen, aber Du kannst MD5 auch in Plain Python implementieren, so dass Du das abgelegte MD5-gesicherte Kennwort als IV nimmst, und dann einfach die Session-ID dazubaust. (22:11:02) kiesner: (nennt sich auch digest-authentifizierung) (22:11:29) jedie: Die digest-authentifizierung arbeitet auch mit einer Zufallszahl? (22:11:48) jedie: Ich dachte, der Client baut nur eine MD5 vom Passwort, ohne Zufallszahl... (22:12:24) jedie: kiesner: Was heißt IV ? (22:12:29) kiesner: Initial Value