RE: interaction between .forward() and

Sat, 04 Sep 2010 17:16:40 -0700 

far easier to implement than HTTPS
what can MIM access with just the session-id?
is this comparison DIGEST vs HTTPS documented

Martin
______________________________________________ 
Verzicht und Vertraulichkeitanmerkung/Note de déni et de confidentialité

Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger 
sein, so bitten wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung 
oder Fertigung einer Kopie ist unzulaessig. Diese Nachricht dient lediglich dem 
Austausch von Informationen und entfaltet keine rechtliche Bindungswirkung. 
Aufgrund der leichten Manipulierbarkeit von E-Mails koennen wir keine Haftung 
fuer den Inhalt uebernehmen.
Ce message est confidentiel et peut être privilégié. Si vous n'êtes pas le 
destinataire prévu, nous te demandons avec bonté que pour satisfaire informez 
l'expéditeur. N'importe quelle diffusion non autorisée ou la copie de ceci est 
interdite. Ce message sert à l'information seulement et n'aura pas n'importe 
quel effet légalement obligatoire. Étant donné que les email peuvent facilement 
être sujets à la manipulation, nous ne pouvons accepter aucune responsabilité 
pour le contenu fourni.



 

> Date: Sun, 5 Sep 2010 00:23:51 +0100
> From: ma...@apache.org
> To: users@tomcat.apache.org
> Subject: Re: interaction between .forward() and <security-constraint>
> 
> On 04/09/2010 17:27, André Warnier wrote:
> > Digest authentication is not very popular, and rather a pain to
> > implement yourself.
> > The reason why it is not very popular is that it is a bit of a halfway
> > solution : it does avoid user passwords to be transmitted in clear over
> > the net, but it is not safe for man-in-the-middle attacks (someone can
> > record the digest, and use it to authenticate later as that user).
> 
> No they can't. DIGEST is secure against such an attack. Any session ID,
> however, will be vulnerable.
> 
> > And
> > it still leaves the subsequent conversation unencrypted.
> 
> True.
> 
> > If you really need security, then you should run your entire site under
> > HTTPS.
> 
> It depends on what you are trying to protect. Generally, this is true
> but there will be edge cases where DIGEST is sufficient.
> 
> Mark
> 
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscr...@tomcat.apache.org
> For additional commands, e-mail: users-h...@tomcat.apache.org
>

Reply via email to