Re: À propos de ssh
Sylvain Sauvage a écrit :
> Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
>> On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
>> […]
>>> D’après ce que j’en sais, oui.
>>> Après vérification rapide du code, le mot de passe est lu et
>>> placé tel quel dans le paquet à envoyer (chiffré).
>> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
>> était l'envoi du mot de passe en clair.
>
> Vois pas le rapport. Dans ssh, le mot de passe est en clair
> mais dans le tunnel chiffré. Il me semble logique que le mot de
> passe soit donné au serveur pour qu’il puisse authentifier.
> Dans telnet, la connexion n’est pas chiffrée, donc le problème,
> c’est un petit malin qui se placerait au milieu pour regarder ce
> qui passe dans le tuyau.
> Notons aussi que lors d’un login sur une machine, le mot de
> passe est en clair, hein ; il est tapé au clavier. La machine le
> connait donc bien aussi et si un méchant a remplacé le programme
> login, on n’est au même point que si un méchant remplace le
> programme sshd pour choper les mots de passe. La seule
> différence, c’est que le fait que l’accès à la machine par
> l’utilisateur soit physique permet plus facilement à cet
> utilisateur de se rendre compte qu’il se trompe de machine…
>
>> Maintenant c'est peut-être une des raisons pour lesquelles le système
>> d'authentification RSA est plus sûr.
>
> Sûr, vu que les clefs privées restent privées.
>
sauf quand un malin attaque la machine cliente (keylogger, ... etc) ou
quand un utilisateur "lambda" ne met pas de passphrase (ou en met une
facile), ce qu'on ne peut pas vérifier côté serveur.
notre vie d'araignée est décidément trop dure ;-p
Reply to: