精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2007-10-22
mryufeng 写道 cookie不是明文传送的 是cooke和node的信息 参与md5後在网络传输的 所以不用担心泄密。
http://mryufeng.iteye.com 那我截获了某个节点发送的MD5结果以后,还是可以伪装成那个节点的. 虽然伪装IP/MAC可能有些难度,但是先通过攻击把那个节点撂倒,再伪装,也是有可能的. |
|
返回顶楼 | |
发表时间:2007-10-22
应该说erlang就没有考虑跨广域网的安全问题吧,erlang所开发的系统也应该主要是运行在一个企业的内部高速局域网中。
歆渊 写道 mryufeng 写道 cookie不是明文传送的 是cooke和node的信息 参与md5後在网络传输的 所以不用担心泄密。
http://mryufeng.iteye.com 那我截获了某个节点发送的MD5结果以后,还是可以伪装成那个节点的. 虽然伪装IP/MAC可能有些难度,但是先通过攻击把那个节点撂倒,再伪装,也是有可能的. |
|
返回顶楼 | |
发表时间:2007-10-23
gen_challenge() ->
{A,B,C} = erlang:now(), {D,_} = erlang:statistics(reductions), {E,_} = erlang:statistics(runtime), {F,_} = erlang:statistics(wall_clock), {G,H,_} = erlang:statistics(garbage_collection), %% A(8) B(16) C(16) %% D(16),E(8), F(16) G(8) H(16) ( ((A bsl 24) + (E bsl 16) + (G bsl + F) bxor (B + (C bsl 16)) bxor (D + (H bsl 16)) ) band 16#ffffffff. 产生的challenge完全是每次都不同的 从你的角度来看没有加密方式是不可破解的 我截获他的报文 知道他的算法 我当然能够冒充他了, 就算SSL又如何。 另外erlang是支持 inet_ssl_dist 的。 消息传递是可以ssl保护的。 |
|
返回顶楼 | |