Apache ContentDigest Directive

Le
Olivier Masson
Bonjour,

Je découvre cette option mais j'ai du mal à comprendre comment elle peut
fonctionner.

Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?

De toutes façons, cette option est-elle exploitable (c-a-d reconnu par
le navigateur) ?

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #14494291
Olivier Masson wrote in message
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?



Extrait de la documentation (<URL:
http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest
>) :

# The Content-MD5 header provides an end-to-end message integrity check
# (MIC) of the entity-body. A proxy or client may check this header for
# detecting accidental modification of the entity-body in transit.

J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à
assurer la sécurité du document contre une attaque malintentionnée.
Olivier Masson
Le #14494281
Nicolas George a écrit :
Olivier Masson wrote in message
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?



Extrait de la documentation (<URL:
http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest
>) :

# The Content-MD5 header provides an end-to-end message integrity check
# (MIC) of the entity-body. A proxy or client may check this header for
# detecting accidental modification of the entity-body in transit.

J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à
assurer la sécurité du document contre une attaque malintentionnée.



Merci de m'avoir appris à bien lire ! J'avais, bien entendu, lu la doc,
mais pas du tout fait attention à ce terme.

Par contre, est-ce exploitable pas les navigateurs communs ? Sinon
comment savoir comment le checksum est fait (pour intégrer un truc en JS
par exemple) ?
Stephane Catteau
Le #16322471
Olivier Masson devait dire quelque chose comme ceci :

Par contre, est-ce exploitable pas les navigateurs communs ?



Il doit probablement exister un plug-in pour firefox, mais pour les
autres j'ai des doutes. Cela dit, l'intérêt est plus que limité, en
général s'il y a corruption involontaire des données, ça se voit à
l'oeil nu, et si la corruption est volontaire, l'agent corrupteur
probablement aura pensé à modifier la valeur de controle.
Amha c'est surtout destiné aux traitements automatisés, qui ne
disposent eux que de ce genre de méthode pour garantir l'intégrité des
données.


Sinon comment savoir comment le checksum est fait (pour intégrer un
truc en JS par exemple) ?



Soit en regardant le source, soit en faisant un petit script de trois
fois rien pour récupérer une page telle qu'envoyée par le serveur, et
ensuite on test un peut tout jusqu'à obtenir la même valeur que celle
de l'en-tête Content-MD5.
Cela dit, amha c'est un banal MD5 de l'ensemble des données de la
page.
Olivier Masson
Le #16323831
Stephane Catteau a écrit :


Sinon comment savoir comment le checksum est fait (pour intégrer un
truc en JS par exemple) ?



Soit en regardant le source, soit en faisant un petit script de trois
fois rien pour récupérer une page telle qu'envoyée par le serveur, et
ensuite on test un peut tout jusqu'à obtenir la même valeur que celle
de l'en-tête Content-MD5.
Cela dit, amha c'est un banal MD5 de l'ensemble des données de la
page.



Je vais peut-être voir ça.
Ca peut être utile pour des contenus importants (mail, documents
techniques, juridiques...) d'afficher un petit truc indiquant que le
document est affiché dans sa totalité.
Publicité
Poster une réponse
Anonyme