Google Chrome-Domänenauthentifizierung und Klartextkennwörter im HTTP-Header

6180
ahsteele

In einer Antwort auf die Windows-Authentifizierung mit Google Chrome wird angegeben, dass Chrome die Auto-NTLM-Authentifizierung noch nicht unterstützt. Dies bedeutet, dass Benutzer, die sich mit Windows-Authentifizierung an Sites authentifizieren, zur Anmeldung aufgefordert werden. Was ärgerlich ist, aber kein Problem. Das Problem liegt darin, dass das Kennwort des Benutzers in Klartext an die authentifizierende Site gesendet wird.

Ich habe ein schnelles ASP.NET-Skript erstellt, das das Kennwort aus der AUTH_PASSWORD in der Request.ServerVariables-Auflistung abruft . Sowohl bei Safari als auch bei Opera werden Benutzeranmeldeinformationen angefordert, das Kennwort wird jedoch nicht im Klartext im HTTP-Header gesendet. Ich finde das besonders merkwürdig, da Chrome wie Safari auf WebKit basiert.

Was ist der Unterschied zwischen der Art und Weise, in der Chrome Authenticates im Vergleich zu anderen Browsern verwendet, und warum sendet es das Kennwort auf diese Weise an eine Website?

1

4 Antworten auf die Frage

1
harrymc

NTLM wird derzeit nach Chrome portiert. Sehen Sie das hier . Warten Sie einfach auf die nächste Version.

0
bdonlan

Eine Möglichkeit ist, dass Chrome NTLM überhaupt nicht unterstützt und Chrome einfach auf die HTTP-BASIC-Authentifizierung zurückgreift . Können Sie die genauen Kopfzeilen erhalten, die mit Wireshark oder ähnlichem verwendet werden?

Meine Erfahrung mit Wireshark ist begrenzt, aber ich vermute, dass ich die Authentifizierung nicht sehen kann, da die Site, für die ich aktiv bin, SSL verwendet. Wenn es einen Weg gibt, lass es mich wissen. Ich habe nur daran gedacht, die grundlegende Authentifizierung auf dem Server auszuschalten und zu sehen, ob Chrome immer noch da ist. ahsteele vor 15 Jahren 0
0
grawity

Antwort auf deinen Kommentar zur Antwort von bdonlan:

Ich vermute, ich kann die Authentifizierung nicht sehen, da die Site, für die ich ausgeführt werde, SSL verwendet.

Das Burp-Proxy- Tool ermöglicht das Überwachen (und sogar Ändern) von HTTP-Anforderungen und -Antworten und kann auch als HTTPS-Proxy fungieren. (Je nachdem, wie Chrome HTTPS-Proxys verwendet, kann dies möglicherweise nicht funktionieren.)

0
dlux

Nach dem, was ich über Wireshark feststellen kann, unterstützt Chrome die NTLM-Authentifizierung. Was nicht unterstützt wird, ist das einmalige Anmelden, indem Sie Ihre vorhandenen Anmeldeinformationen durchleiten.

Aus diesem Grund ist das Feld AUTH_PASSWORD leer.

In gewisser Weise unterstützen Safari und Opera Single-Sign-On. Warum ist AUTH_PASSWORD leer, wenn Sie sich mit diesen Browsern authentifizieren? ahsteele vor 15 Jahren 0

Verwandte Probleme