Je découvre cette option mais j'ai du mal à comprendre comment elle peut
fonctionner.
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?
De toutes façons, cette option est-elle exploitable (c-a-d reconnu par
le navigateur) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas George
Olivier Masson wrote in message <4875ca8e$0$6133$:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne pourrait pas modifier également cette empreinte ? Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL: http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest >) :
# The Content-MD5 header provides an end-to-end message integrity check # (MIC) of the entity-body. A proxy or client may check this header for # detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à assurer la sécurité du document contre une attaque malintentionnée.
Olivier Masson wrote in message
<4875ca8e$0$6133$426a74cc@news.free.fr>:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL:
http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest
>) :
# The Content-MD5 header provides an end-to-end message integrity check
# (MIC) of the entity-body. A proxy or client may check this header for
# detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à
assurer la sécurité du document contre une attaque malintentionnée.
Olivier Masson wrote in message <4875ca8e$0$6133$:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne pourrait pas modifier également cette empreinte ? Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL: http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest >) :
# The Content-MD5 header provides an end-to-end message integrity check # (MIC) of the entity-body. A proxy or client may check this header for # detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à assurer la sécurité du document contre une attaque malintentionnée.
Olivier Masson
Nicolas George a écrit :
Olivier Masson wrote in message <4875ca8e$0$6133$:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne pourrait pas modifier également cette empreinte ? Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL: http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest >) :
# The Content-MD5 header provides an end-to-end message integrity check # (MIC) of the entity-body. A proxy or client may check this header for # detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à assurer la sécurité du document contre une attaque malintentionnée.
Merci de m'avoir appris à bien lire ! J'avais, bien entendu, lu la doc, mais pas du tout fait attention à ce terme.
Par contre, est-ce exploitable pas les navigateurs communs ? Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Nicolas George a écrit :
Olivier Masson wrote in message
<4875ca8e$0$6133$426a74cc@news.free.fr>:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne
pourrait pas modifier également cette empreinte ?
Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL:
http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest
>) :
# The Content-MD5 header provides an end-to-end message integrity check
# (MIC) of the entity-body. A proxy or client may check this header for
# detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à
assurer la sécurité du document contre une attaque malintentionnée.
Merci de m'avoir appris à bien lire ! J'avais, bien entendu, lu la doc,
mais pas du tout fait attention à ce terme.
Par contre, est-ce exploitable pas les navigateurs communs ? Sinon
comment savoir comment le checksum est fait (pour intégrer un truc en JS
par exemple) ?
Olivier Masson wrote in message <4875ca8e$0$6133$:
Si Apache crée une empreinte de ce qu'il envoie, pourquoi une MiM ne pourrait pas modifier également cette empreinte ? Comment se fait l'opération pour que ce soit sûr ?
Extrait de la documentation (<URL: http://httpd.apache.org/docs/2.2/mod/core.html#contentdigest >) :
# The Content-MD5 header provides an end-to-end message integrity check # (MIC) of the entity-body. A proxy or client may check this header for # detecting accidental modification of the entity-body in transit.
J'attire l'attention sur le mot « accidental » : ce n'est pas destiné à assurer la sécurité du document contre une attaque malintentionnée.
Merci de m'avoir appris à bien lire ! J'avais, bien entendu, lu la doc, mais pas du tout fait attention à ce terme.
Par contre, est-ce exploitable pas les navigateurs communs ? Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Stephane Catteau
Olivier Masson devait dire quelque chose comme ceci :
Par contre, est-ce exploitable pas les navigateurs communs ?
Il doit probablement exister un plug-in pour firefox, mais pour les autres j'ai des doutes. Cela dit, l'intérêt est plus que limité, en général s'il y a corruption involontaire des données, ça se voit à l'oeil nu, et si la corruption est volontaire, l'agent corrupteur probablement aura pensé à modifier la valeur de controle. Amha c'est surtout destiné aux traitements automatisés, qui ne disposent eux que de ce genre de méthode pour garantir l'intégrité des données.
Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois fois rien pour récupérer une page telle qu'envoyée par le serveur, et ensuite on test un peut tout jusqu'à obtenir la même valeur que celle de l'en-tête Content-MD5. Cela dit, amha c'est un banal MD5 de l'ensemble des données de la page.
Olivier Masson devait dire quelque chose comme ceci :
Par contre, est-ce exploitable pas les navigateurs communs ?
Il doit probablement exister un plug-in pour firefox, mais pour les
autres j'ai des doutes. Cela dit, l'intérêt est plus que limité, en
général s'il y a corruption involontaire des données, ça se voit à
l'oeil nu, et si la corruption est volontaire, l'agent corrupteur
probablement aura pensé à modifier la valeur de controle.
Amha c'est surtout destiné aux traitements automatisés, qui ne
disposent eux que de ce genre de méthode pour garantir l'intégrité des
données.
Sinon comment savoir comment le checksum est fait (pour intégrer un
truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois
fois rien pour récupérer une page telle qu'envoyée par le serveur, et
ensuite on test un peut tout jusqu'à obtenir la même valeur que celle
de l'en-tête Content-MD5.
Cela dit, amha c'est un banal MD5 de l'ensemble des données de la
page.
Olivier Masson devait dire quelque chose comme ceci :
Par contre, est-ce exploitable pas les navigateurs communs ?
Il doit probablement exister un plug-in pour firefox, mais pour les autres j'ai des doutes. Cela dit, l'intérêt est plus que limité, en général s'il y a corruption involontaire des données, ça se voit à l'oeil nu, et si la corruption est volontaire, l'agent corrupteur probablement aura pensé à modifier la valeur de controle. Amha c'est surtout destiné aux traitements automatisés, qui ne disposent eux que de ce genre de méthode pour garantir l'intégrité des données.
Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois fois rien pour récupérer une page telle qu'envoyée par le serveur, et ensuite on test un peut tout jusqu'à obtenir la même valeur que celle de l'en-tête Content-MD5. Cela dit, amha c'est un banal MD5 de l'ensemble des données de la page.
Olivier Masson
Stephane Catteau a écrit :
Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois fois rien pour récupérer une page telle qu'envoyée par le serveur, et ensuite on test un peut tout jusqu'à obtenir la même valeur que celle de l'en-tête Content-MD5. Cela dit, amha c'est un banal MD5 de l'ensemble des données de la page.
Je vais peut-être voir ça. Ca peut être utile pour des contenus importants (mail, documents techniques, juridiques...) d'afficher un petit truc indiquant que le document est affiché dans sa totalité.
Stephane Catteau a écrit :
Sinon comment savoir comment le checksum est fait (pour intégrer un
truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois
fois rien pour récupérer une page telle qu'envoyée par le serveur, et
ensuite on test un peut tout jusqu'à obtenir la même valeur que celle
de l'en-tête Content-MD5.
Cela dit, amha c'est un banal MD5 de l'ensemble des données de la
page.
Je vais peut-être voir ça.
Ca peut être utile pour des contenus importants (mail, documents
techniques, juridiques...) d'afficher un petit truc indiquant que le
document est affiché dans sa totalité.
Sinon comment savoir comment le checksum est fait (pour intégrer un truc en JS par exemple) ?
Soit en regardant le source, soit en faisant un petit script de trois fois rien pour récupérer une page telle qu'envoyée par le serveur, et ensuite on test un peut tout jusqu'à obtenir la même valeur que celle de l'en-tête Content-MD5. Cela dit, amha c'est un banal MD5 de l'ensemble des données de la page.
Je vais peut-être voir ça. Ca peut être utile pour des contenus importants (mail, documents techniques, juridiques...) d'afficher un petit truc indiquant que le document est affiché dans sa totalité.
