RFC2069 日本語訳
2069 An Extension to HTTP : Digest Access Authentication. J. Franks,P. Hallam-Baker, J. Hostetler, P. Leach, A. Luotonen, E. Sink, L.Stewart. January 1997. (Format: TXT=41733 bytes) (Obsoleted by RFC2617) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group J. Franks
Request for Comments: 2069 Northwestern University
Category: Standards Track P. Hallam-Baker
CERN
J. Hostetler
Spyglass, Inc.
P. Leach
Microsoft Corporation
A. Luotonen
Netscape Communications Corporation
E. Sink
Spyglass, Inc.
L. Stewart
Open Market, Inc.
January 1997
フランクフルトソーセージがコメントのために要求するワーキンググループJ.をネットワークでつないでください: 2069年のノースウェスタン大学カテゴリ: 市場Inc.1997年1月にオープンな標準化過程のE.流し台スパイグラスInc.L.P.ハラム-ベイカーCERN J.Hostetler Spyglass Inc.P.リーチマイクロソフト社A.Luotonenネットスケープ社スチュワート
An Extension to HTTP : Digest Access Authentication
HTTPへの拡大: ダイジェストアクセス認証
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Abstract
要約
The protocol referred to as "HTTP/1.0" includes the specification for a Basic Access Authentication scheme. This scheme is not considered to be a secure method of user authentication, as the user name and password are passed over the network as clear text. A specification for a different authentication scheme is needed to address this severe limitation. This document provides specification for such a scheme, referred to as "Digest Access Authentication". Like Basic, Digest access authentication verifies that both parties to a communication know a shared secret (a password); unlike Basic, this verification can be done without sending the password in the clear, which is Basic's biggest weakness. As with most other authentication protocols, the greatest sources of risks are usually found not in the core protocol itself but in policies and procedures surrounding its use.
プロトコルは「HTTP/1インチは基本的なアクセス認証体系のための仕様を含んでいること」を呼びました。 この体系はユーザー認証の安全なメソッドであると考えられません、テキストをクリアするときユーザ名とパスワードがネットワークの上に通過されるとき。 異なった認証体系のための仕様が、この厳しい制限を扱うのに必要です。 このドキュメントは「ダイジェストアクセス認証」と呼ばれたそのような体系のための仕様を提供します。 Basicのように、Digestアクセス認証は、コミュニケーションへの双方が共有秘密キー(パスワード)を知っていることを確かめます。 Basic、Basicの最も大きい弱点であること明確でパスワードを送らないで検証をできるこのと異なって。 他のほとんどの認証プロトコルのように、通常、リスクの最大級の源はコアプロトコル自体で見つけられるのではなく、使用を囲む方針と手順で見つけられます。
Franks, et. al. Standards Track [Page 1] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[1ページ]RFC2069はアクセス認証1997年1月に読みこなします。
Table of Contents
目次
INTRODUCTION...................................................... 2
1.1 PURPOSE .................................................... 2
1.2 OVERALL OPERATION .......................................... 3
1.3 REPRESENTATION OF DIGEST VALUES ............................ 3
1.4 LIMITATIONS ................................................ 3
2. DIGEST ACCESS AUTHENTICATION SCHEME............................ 3
2.1 SPECIFICATION OF DIGEST HEADERS ............................. 3
2.1.1 THE WWW-AUTHENTICATE RESPONSE HEADER ..................... 4
2.1.2 THE AUTHORIZATION REQUEST HEADER ......................... 6
2.1.3 THE AUTHENTICATION-INFO HEADER ........................... 9
2.2 DIGEST OPERATION ............................................ 10
2.3 SECURITY PROTOCOL NEGOTIATION ............................... 10
2.4 EXAMPLE ..................................................... 11
2.5 PROXY-AUTHENTICATION AND PROXY-AUTHORIZATION ................ 11
3. SECURITY CONSIDERATIONS........................................ 12
3.1 COMPARISON WITH BASIC AUTHENTICATION ........................ 13
3.2 REPLAY ATTACKS .............................................. 13
3.3 MAN IN THE MIDDLE ........................................... 14
3.4 SPOOFING BY COUNTERFEIT SERVERS ............................. 15
3.5 STORING PASSWORDS ........................................... 15
3.6 SUMMARY ..................................................... 16
4. ACKNOWLEDGMENTS............................................... 16
5. REFERENCES..................................................... 16
6. AUTHORS' ADDRESSES............................................. 17
序論… 2 1.1目的… 2 1.2 総合的な操作… 3 1.3 ダイジェスト値の表現… 3 1.4の制限… 3 2. アクセス認証体系を読みこなしてください… 3 2.1 ダイジェストヘッダーの仕様… 3 2.1 .1、応答ヘッダをWWW認証してください… 4 2.1 .2 承認要求ヘッダー… 6 2.1 .3 認証インフォメーションヘッダー… 9 2.2 操作を読みこなしてください… 10 2.3 セキュリティは交渉について議定書の中で述べます… 10 2.4の例… 11 2.5のプロキシ認証とプロキシ承認… 11 3. セキュリティ問題… 12 基本認証との3.1比較… 13 3.2の反射攻撃… 13 3.3 中央でやれやれ… 14 3.4 にせのサーバで、だまします… 15 3.5 パスワードを保存します… 15 3.6概要… 16 4. 承認… 16 5. 参照… 16 6. 作者のアドレス… 17
Introduction
序論
1.1 Purpose
1.1 目的
The protocol referred to as "HTTP/1.0" includes specification for a Basic Access Authentication scheme[1]. This scheme is not considered to be a secure method of user authentication, as the user name and password are passed over the network in an unencrypted form. A specification for a new authentication scheme is needed for future versions of the HTTP protocol. This document provides specification for such a scheme, referred to as "Digest Access Authentication".
「HTTP/1インチは基本的なアクセス認証体系[1]のための仕様を含んでいる」と呼ばれたプロトコル。 この体系はユーザー認証の安全なメソッドであると考えられません、ユーザ名とパスワードが非暗号化されたフォームでネットワークの上に通過されるとき。 新しい認証体系のための仕様がHTTPプロトコルの将来のバージョンに必要です。 このドキュメントは「ダイジェストアクセス認証」と呼ばれたそのような体系のための仕様を提供します。
The Digest Access Authentication scheme is not intended to be a complete answer to the need for security in the World Wide Web. This scheme provides no encryption of object content. The intent is simply to create a weak access authentication method which avoids the most serious flaws of Basic authentication.
Digest Access Authentication体系はWWWにおけるセキュリティの必要性の完全な答えであることを意図しません。 この体系はオブジェクト含有量の暗号化を全く提供しません。 意図は単にBasic認証の最も多くの重大な欠陥を避ける弱いアクセス認証方法を作成することです。
It is proposed that this access authentication scheme be included in the proposed HTTP/1.1 specification.
このアクセス認証体系が提案されたHTTP/1.1仕様に含まれているよう提案されます。
Franks, et. al. Standards Track [Page 2] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[2ページ]RFC2069はアクセス認証1997年1月に読みこなします。
1.2 Overall Operation
1.2 総合的な操作
Like Basic Access Authentication, the Digest scheme is based on a simple challenge-response paradigm. The Digest scheme challenges using a nonce value. A valid response contains a checksum (by default the MD5 checksum) of the username, the password, the given nonce value, the HTTP method, and the requested URI. In this way, the password is never sent in the clear. Just as with the Basic scheme, the username and password must be prearranged in some fashion which is not addressed by this document.
Basic Access Authenticationのように、Digest体系は簡単なチャレンジレスポンスパラダイムに基づいています。 一回だけの値を使用することでDigest体系は挑戦します。 有効回答がチェックサムを含んでいる、(デフォルトで、MD5チェックサム) ユーザ名、パスワード、与えられた一回だけの値、HTTPメソッド、および要求されたURIについて。 このように、明確でパスワードを決して送りません。 ちょうどBasic体系なら、このドキュメントによって扱われない何らかのファッションでユーザ名とパスワードについて根回ししなければなりません。
1.3 Representation of digest values
1.3 ダイジェスト値の表現
An optional header allows the server to specify the algorithm used to create the checksum or digest. By default the MD5 algorithm is used and that is the only algorithm described in this document.
任意のヘッダーはサーバにチェックサムを作成するか、または読みこなすのに使用されるアルゴリズムを指定させます。 デフォルトで、MD5アルゴリズムは使用されています、そして、それは本書では説明された唯一のアルゴリズムです。
For the purposes of this document, an MD5 digest of 128 bits is represented as 32 ASCII printable characters. The bits in the 128 bit digest are converted from most significant to least significant bit, four bits at a time to their ASCII presentation as follows. Each four bits is represented by its familiar hexadecimal notation from the characters 0123456789abcdef. That is, binary 0000 gets represented by the character '0', 0001, by '1', and so on up to the representation of 1111 as 'f'.
このドキュメントの目的のために、128ビットのMD5ダイジェストは32のASCIIの印刷可能なキャラクタとして表されます。 128ビットのダイジェストのビットは最下位ビットに最も重要な状態で変えられます、一度に以下の彼らのASCIIプレゼンテーションへの4ビット。 各4ビットは身近な16進法によってキャラクタ0123456789abcdefから表されます。 すなわち、2進の0000はキャラクタ'0'、0001によって表されます、'1''f'としての1111年の表現までのなどで。
1.4 Limitations
1.4 制限
The digest authentication scheme described in this document suffers from many known limitations. It is intended as a replacement for basic authentication and nothing more. It is a password-based system and (on the server side) suffers from all the same problems of any password system. In particular, no provision is made in this protocol for the initial secure arrangement between user and server to establish the user's password.
本書では説明されたダイジェスト認証体系は多くの知られている制限に苦しみます。 それは基本認証とそれ以上何もとの交換として意図します。 それは、パスワードベースのシステムであり、どんなパスワードシステムのちょうど同じ問題にも苦しみます(サーバ側で)。 このプロトコルでユーザとサーバの間の初期の安全な配置がユーザのパスワードを確立するのを設備を全く特に、しません。
Users and implementors should be aware that this protocol is not as secure as kerberos, and not as secure as any client-side private-key scheme. Nevertheless it is better than nothing, better than what is commonly used with telnet and ftp, and better than Basic authentication.
ユーザと作成者はこのプロトコルがkerberosほど安全でなくて、またどんなクライアントサイド秘密鍵体系ほども安全でないことを意識しているべきです。 それにもかかわらず、それは、ないよりましで、telnetと共に一般的に使用されることとftpより良くて、Basic認証より良いです。
2. Digest Access Authentication Scheme
2. ダイジェストアクセス認証体系
2.1 Specification of Digest Headers
2.1 ダイジェストヘッダーの仕様
The Digest Access Authentication scheme is conceptually similar to the Basic scheme. The formats of the modified WWW-Authenticate
Digest Access Authentication体系は概念的にBasic体系と同様です。 変更の形式はWWW認証します。
Franks, et. al. Standards Track [Page 3] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[3ページ]RFC2069はアクセス認証1997年1月に読みこなします。
header line and the Authorization header line are specified below, using the extended BNF defined in the HTTP/1.1 specification, section 2.1. In addition, a new header, Authentication-info, is specified.
ヘッダー系列とAuthorizationヘッダー系列は以下で指定されます、HTTP/1.1仕様(セクション2.1)に基づき定義された拡張BNFを使用して さらに、新しいヘッダー(Authentication-インフォメーション)は指定されます。
2.1.1 The WWW-Authenticate Response Header
2.1.1、応答ヘッダをWWW認証してください。
If a server receives a request for an access-protected object, and an acceptable Authorization header is not sent, the server responds with a "401 Unauthorized" status code, and a WWW-Authenticate header, which is defined as follows:
サーバがアクセスで保護されたオブジェクトを求める要求を受け取って、許容できるAuthorizationヘッダーが送られないなら、サーバがaで反応する、「401、権限のなさ、」 ステータスコード、aがヘッダーをWWW認証する、(以下の通り定義されます):
WWW-Authenticate = "WWW-Authenticate" ":" "Digest"
digest-challenge
「WWW認証、=が「WWW認証する」、」、:、」 「ダイジェスト」ダイジェスト挑戦
digest-challenge = 1#( realm | [ domain ] | nonce |
[ digest-opaque ] |[ stale ] | [ algorithm ] )
ダイジェスト挑戦=1#(分野|[ドメイン]|一回だけ| [ダイジェスト不透明な]| [聞き古した]| [アルゴリズム])
realm = "realm" "=" realm-value
realm-value = quoted-string
domain = "domain" "=" <"> 1#URI <">
nonce = "nonce" "=" nonce-value
nonce-value = quoted-string
opaque = "opaque" "=" quoted-string
stale = "stale" "=" ( "true" | "false" )
algorithm = "algorithm" "=" ( "MD5" | token )
分野=「分野」「=」分野価値の分野価値が「ドメイン」「=」引用文字列ドメイン=<と等しい、「>1#URI<「引用文字列>一回だけの=「不透明な」不透明なもの=「一回だけ」の「=」一回だけの値の一回だけの価値=「=」聞き古した=「聞き古した」「=」(「本当に」| 「虚偽」)アルゴリズム=引用文字列「アルゴリズム」「=」」(「MD5"| トークン、)、」
The meanings of the values of the parameters used above are as follows:
上で使用されたパラメタの値の意味は以下の通りです:
realm
A string to be displayed to users so they know which username and
password to use. This string should contain at least the name of
the host performing the authentication and might additionally
indicate the collection of users who might have access. An example
might be "registered_users@gotham.news.com". The realm is a
"quoted-string" as specified in section 2.2 of the HTTP/1.1
specification [2].
彼らが、どのユーザ名とパスワードを使用したらよいかを知っていて、Aがユーザに表示するために結ぶ分野。 このストリングは、少なくとも認証を実行しているホストの名前を含むべきであり、さらに、アクセサリーを持っているかもしれないユーザの収集を示すかもしれません。 例は" registered_users@gotham.news.com "であるかもしれません。 分野は指定されるとしてHTTP/1.1仕様[2]のセクション2.2の「引用文字列」です。
domain
A comma-separated list of URIs, as specified for HTTP/1.0. The
intent is that the client could use this information to know the
set of URIs for which the same authentication information should be
sent. The URIs in this list may exist on different servers. If
this keyword is omitted or empty, the client should assume that the
domain consists of all URIs on the responding server.
ドメインAはHTTP/1.0に指定されるようにURIのリストをコンマで切り離しました。 意図はクライアントが同じ認証情報が送られるべきであるURIのセットを知るのにこの情報を使用できたということです。 このリストのURIは異なったサーバに存在するかもしれません。 このキーワードが省略されているか、または空であるなら、クライアントは、ドメインが応じるサーバに関するすべてのURIから成ると仮定するべきです。
Franks, et. al. Standards Track [Page 4] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[4ページ]RFC2069はアクセス認証1997年1月に読みこなします。
nonce
A server-specified data string which may be uniquely generated each
time a 401 response is made. It is recommended that this string be
base64 or hexadecimal data. Specifically, since the string is
passed in the header lines as a quoted string, the double-quote
character is not allowed.
401応答がされる各回であると唯一生成されるかもしれない一回だけのAサーバで指定されたデータ列。 このストリングがbase64か16進データであることがお勧めです。 明確に、ストリングが引用文字列としてヘッダー系列で渡されるので、二重引用文字は許容されていません。
The contents of the nonce are implementation dependent. The
quality of the implementation depends on a good choice. A
recommended nonce would include
一回だけの内容は実装に依存しています。 実装の品質は良い選択に依存します。 お勧めの一回だけは包含するでしょう。
H(client-IP ":" time-stamp ":" private-key )
H「(クライアントIP、」、:、」、」 : 」 秘密鍵を時押し込んでください、)
Where client-IP is the dotted quad IP address of the client making
the request, time-stamp is a server-generated time value, private-
key is data known only to the server. With a nonce of this form a
server would normally recalculate the nonce after receiving the
client authentication header and reject the request if it did not
match the nonce from that header. In this way the server can limit
the reuse of a nonce to the IP address to which it was issued and
limit the time of the nonce's validity. Further discussion of the
rationale for nonce construction is in section 3.2 below.
タイムスタンプがクライアントIPが要求をしているクライアントの点を打たされた回路IPアドレスであることのサーバで発生している時間的価値である、個人的なキーはサーバだけに知られているデータです。このフォームの一回だけで、そのヘッダーから一回だけを合わせないなら、サーバは、クライアント認証ヘッダーを受けた後に、通常、一回だけについて再計算して、要求を拒絶するでしょうに。 このように、サーバは、一回だけの再利用をそれが発行されたIPアドレスに制限して、一回だけの正当性の時間を制限できます。 一回だけの工事のための原理のさらなる議論が下のセクション3.2にあります。
An implementation might choose not to accept a previously used
nonce or a previously used digest to protect against a replay
attack. Or, an implementation might choose to use one-time nonces
or digests for POST or PUT requests and a time-stamp for GET
requests. For more details on the issues involved see section 3.
of this document.
実装は、反射攻撃から守るために以前中古の一回だけか以前中古のダイジェストを受け入れないのを選ぶかもしれません。 または、実装は、GET要求のためのポストのための1回の一回だけかダイジェストかPUT要求とタイムスタンプを使用するのを選ぶかもしれません。 かかわった問題に関するその他の詳細に関しては、このドキュメントのセクション3を見てください。
The nonce is opaque to the client.
クライアントにとって、一回だけは不透明です。
opaque
A string of data, specified by the server, which should be
returned by the client unchanged. It is recommended that this
string be base64 or hexadecimal data. This field is a
"quoted-string" as specified in section 2.2 of the HTTP/1.1
specification [2].
変わりがない状態でクライアントによって返されるべきであるサーバによって指定されたA一連のデータについて不透明にしてください。 このストリングがbase64か16進データであることがお勧めです。 この分野は指定されるとしてHTTP/1.1仕様[2]のセクション2.2の「引用文字列」です。
stale
A flag, indicating that the previous request from the client was
rejected because the nonce value was stale. If stale is TRUE (in
upper or lower case), the client may wish to simply retry the
request with a new encrypted response, without reprompting the
user for a new username and password. The server should only set
stale to true if it receives a request for which the nonce is
invalid but with a valid digest for that nonce (indicating that
the client knows the correct username/password).
一回だけの値が聞き古したであったクライアントからの前の要求が拒絶されたのを示して、A旗は聞き古したになってください。 聞き古したである、新しい暗号化された応答で(コネで上側の、または、より低いケース)、クライアントが単に再試行したがっているかもしれないTRUEは新しいユーザ名とパスワードのためにユーザを「再-うなが」すことのない要求ですか? 一回だけが無効である要求を受け取りますが、それがその一回だけのために有効なダイジェストでセットする場合にだけ、サーバは本当に聞き古したであるセットするべきです(クライアントが正しいユーザ名/パスワードを知っているのを示して)。
Franks, et. al. Standards Track [Page 5] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[5ページ]RFC2069はアクセス認証1997年1月に読みこなします。
algorithm
A string indicating a pair of algorithms used to produce the
digest and a checksum. If this not present it is assumed to be
"MD5". In this document the string obtained by applying the
digest algorithm to the data "data" with secret "secret" will be
denoted by KD(secret, data), and the string obtained by applying
the checksum algorithm to the data "data" will be denoted
H(data).
1組のアルゴリズムを示すアルゴリズムAストリングが以前はよくダイジェストとチェックサムを製作していました。 プレゼントではなく、これであるなら、それは"MD5""であると思われます。 本書では秘密の「秘密」で「データ」というデータにダイジェストアルゴリズムを適用することによって入手されたストリングはKD(秘密、データ)によって指示されるでしょう、そして、「データ」というデータにチェックサムアルゴリズムを適用することによって入手されたストリングは指示されたHになデータ()るでしょう。
For the "MD5" algorithm
「MD5"アルゴリズム」のために
H(data) = MD5(data)
H(データ)はMD5と等しいです。(データ)
and
そして
KD(secret, data) = H(concat(secret, ":", data))
KD(秘密、データ)はHと等しいです。「(concat、(秘密である、」、:、」、データ)
i.e., the digest is the MD5 of the secret concatenated with a colon
concatenated with the data.
すなわち、ダイジェストはコロンがデータで連結される状態で連結された秘密のMD5です。
2.1.2 The Authorization Request Header
2.1.2 承認要求ヘッダー
The client is expected to retry the request, passing an Authorization header line, which is defined as follows.
Authorizationヘッダー系列(以下の通り定義される)を通過して、クライアントが要求を再試行すると予想されます。
Authorization = "Authorization" ":" "Digest" digest-response
「承認=「承認」」:、」 「ダイジェスト」ダイジェスト応答
digest-response = 1#( username | realm | nonce | digest-uri |
response | [ digest ] | [ algorithm ] |
opaque )
ダイジェスト応答=1#(ユーザ名|分野|一回だけ| ダイジェスト-uri| 応答| [ダイジェスト]|[アルゴリズム]|不透明なもの)
username = "username" "=" username-value username-value = quoted-string digest-uri = "uri" "=" digest-uri-value digest-uri-value = request-uri ; As specified by HTTP/1.1 response = "response" "=" response-digest digest = "digest" "=" entity-digest
引用文字列ダイジェスト-uri="uri"「=」ダイジェストuri価値のダイジェストuriユーザ名=「ユーザ名」「=」ユーザ名価値のユーザ名価値=価値は要求-uriと等しいです。 = HTTP/1.1応答で指定されるように、「応答」は応答ダイジェストダイジェスト=「ダイジェスト」「=」実体ダイジェストと「等しいです」。
response-digest = <"> *LHEX <">
entity-digest = <"> *LHEX <">
LHEX = "0" | "1" | "2" | "3" | "4" | "5" | "6" | "7" |
"8" | "9" | "a" | "b" | "c" | "d" | "e" | "f"
応答ダイジェスト=<、「>*LHEX<、「>実体ダイジェスト=<、「>*LHEX<、「>LHEXは「0インチ」等しいです。| "1" | "2" | "3" | "4" | "5" | "6" | "7" | "8" | "9" | "a"| 「b」| 「c」| 「d」| 「e」| 「f」
The definitions of response-digest and entity-digest above indicate the encoding for their values. The following definitions show how the value is computed:
応答ダイジェストと実体ダイジェストの上の定義はそれらの値のためのコード化を示します。 以下の定義は値がどう計算されるかを示しています:
Franks, et. al. Standards Track [Page 6] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[6ページ]RFC2069はアクセス認証1997年1月に読みこなします。
response-digest =
<"> < KD ( H(A1), unquoted nonce-value ":" H(A2) > <">
「応答ダイジェスト=<、「><KD、(H(A1)、引用を終わっている一回だけの値の」 : 」 H(A2)><">"
A1 = unquoted username-value ":" unquoted realm-value
":" password
password = < user's password >
A2 = Method ":" digest-uri-value
「A1=はユーザ名値に引用を終わった」:、」 「引用を終わっている分野値」:、」 「パスワードパスワード=<ユーザのパスワード>A2はメソッドと等しい」:、」 ダイジェストuri価値
The "username-value" field is a "quoted-string" as specified in section 2.2 of the HTTP/1.1 specification [2]. However, the surrounding quotation marks are removed in forming the string A1. Thus if the Authorization header includes the fields
「ユーザ名値」分野は指定されるとしてHTTP/1.1仕様[2]のセクション2.2の「引用文字列」です。 しかしながら、ストリングA1を形成する際に周囲の引用符を取り除きます。 したがって、Authorizationであるなら、ヘッダーは分野を入れます。
username="Mufasa", realm="myhost@testrealm.com"
ユーザ名="Mufasa"、分野=" myhost@testrealm.com "
and the user Mufasa has password "CircleOfLife" then H(A1) would be H(Mufasa:myhost@testrealm.com:CircleOfLife) with no quotation marks in the digested string.
そして、ユーザMufasaには、"CircleOfLife"というパスワードがあって、次に、H(A1)は読みこなされたストリングの引用符がなければH(Mufasa: myhost@testrealm.com :CircleOfLife)でしょう。
No white space is allowed in any of the strings to which the digest function H() is applied unless that white space exists in the quoted strings or entity body whose contents make up the string to be digested. For example, the string A1 in the illustrated above must be Mufasa:myhost@testrealm.com:CircleOfLife with no white space on either side of the colons. Likewise, the other strings digested by H() must not have white space on either side of the colons which delimit their fields unless that white space was in the quoted strings or entity body being digested.
余白は全くその余白がコンテンツが読みこなされるためにストリングを作る引用文字列か実体本体に存在していない場合ダイジェスト機能H()が適用されているストリングのいずれにも許容されていません。 例えば、上のイラスト入りのストリングA1はコロンのどちらかの側の余白がなければMufasa: myhost@testrealm.com :CircleOfLifeであるに違いありません。 同様に、H()によって消化された他のストリングはその余白が読みこなされる引用文字列か実体本体になかったならそれらの分野を区切るコロンのどちらの側にも余白を持ってはいけません。
"Method" is the HTTP request method as specified in section 5.1 of [2]. The "request-uri" value is the Request-URI from the request line as specified in section 5.1 of [2]. This may be "*", an "absoluteURL" or an "abs_path" as specified in section 5.1.2 of [2], but it MUST agree with the Request-URI. In particular, it MUST be an "absoluteURL" if the Request-URI is an "absoluteURL".
「メソッド」は指定されるとして[2]のセクション5.1のHTTP要求メソッドです。 「要求-uri」値は[2]のセクション5.1の指定されるとしての要求系列からのRequest-URIです。 これは、セクション5.1.2で、[2]の「*」、"absoluteURL"または指定されるとして「腹筋_経路」であるかもしれませんが、それは要求URIに同意しなければなりません。 Request-URIが"absoluteURL"であるなら、それは特に、"absoluteURL"であるに違いありません。
The authenticating server must assure that the document designated by the "uri" parameter is the same as the document served. The purpose of duplicating information from the request URL in this field is to deal with the possibility that an intermediate proxy may alter the client's request. This altered (but presumably semantically equivalent) request would not result in the same digest as that calculated by the client.
ドキュメントが役立って、認証サーバは、"uri"パラメタによって指定されたドキュメントが同じであることを保証しなければなりません。 この分野で要求URLから情報を二重化する目的は中間的プロキシがクライアントの要求を変更するかもしれない可能性に対処することです。 この変更されて(おそらく意味的に同等)の要求はクライアントによるそんなに計算されるのと同じダイジェストをもたらさないでしょう。
The optional "digest" field contains a digest of the entity body and some of the associated entity headers. This digest can be useful in both request and response transactions. In a request it can insure the integrity of POST data or data being PUT to the server. In a
任意の「ダイジェスト」分野は実体本体のダイジェストと何人かの関連実体ヘッダーを含んでいます。 このダイジェストは要求と応答トランザクションの両方で役に立つ場合があります。 要求では、ポストデータかPUTであるデータの保全をサーバに保障できる、a
Franks, et. al. Standards Track [Page 7] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[7ページ]RFC2069はアクセス認証1997年1月に読みこなします。
response it insures the integrity of the served document. The value of the "digest" field is an <entity-digest> which is defined as follows.
応答、それは役立たれたドキュメントの保全を保障します。 「ダイジェスト」分野の値は<が以下の通り定義される>を実体で読みこなすということです。
entity-digest = <"> KD (H(A1), unquoted nonce-value ":" Method ":"
date ":" entity-info ":" H(entity-body)) <">
; format is <"> *LHEX <">
「実体ダイジェスト=<、「>KD、(」 : 」 H(A1)、引用を終わっている一回だけの値の」 : 」 メソッド」 : 」 日付の」 : 」 実体インフォメーションH(実体本体)<">"。 形式が<である、「>*LHEX<">"
date = = rfc1123-date ; see section 3.3.1 of [2]
entity-info = H(
digest-uri-value ":"
media-type ":" ; Content-type, see section 3.7 of [2]
*DIGIT ":" ; Content length, see 10.12 of [2]
content-coding ":" ; Content-encoding, see 3.5 of [2]
last-modified ":" ; last modified date, see 10.25 of [2]
expires ; expiration date; see 10.19 of [2]
)
rfc1123-日付と==の日付を入れてください。 .1セクション3.3[2] 実体インフォメーション=Hを見てください。コード化します満足している、[2]について3.5に最後に変更されていた状態で見てください。「(uri値を読みこなしてください、」 : 」 メディアタイプ、」、:、」、;、文書内容、[2]*ケタのセクション3.7を見てください、」、:、」、;、長さを満足させてくださいといって、[2]についてコード化を満足させる状態で10.12を見てください 」、:、」、;、」 : 」 ; 最終が日付を変更した、10.25を見る、[2]は期限が切れます; 有効期限; [2] )について10.19を見てください。
last-modified = rfc1123-date ; see section 3.3.1 of [2] expires = rfc1123-date
最後変更された=rfc1123-期日。 セクション3.3.1を見る、[2]は=rfc1123-日付を吐き出します。
The entity-info elements incorporate the values of the URI used to request the entity as well as the associated entity headers Content- type, Content-length, Content-encoding, Last-modified, and Expires. These headers are all end-to-end headers (see section 13.5.1 of [2]) which must not be modified by proxy caches. The "entity-body" is as specified by section 10.13 of [2] or RFC 1864.
実体インフォメーション要素は実体を関連実体ヘッダーContentがタイプするのと同じくらいよく要求するのにおいて中古のURI、Content-長さ、Content-コード化、最終更新日、およびExpiresの値を取り入れます。 [2]) 変更してはいけない.1のセクション13.5ものを見てください。これらのヘッダーが終わりから終わりへの皆ヘッダーである、(代理人を通して、キャッシュします。 [2]かRFC1864のセクション10.13によって指定されるように「実体本体」があります。
Note that not all entities will have an associated URI or all of these headers. For example, an entity which is the data of a POST request will typically not have a digest-uri-value or Last-modified or Expires headers. If an entity does not have a digest-uri-value or a header corresponding to one of the entity-info fields, then that field is left empty in the computation of entity-info. All the colons specified above are present, however. For example the value of the entity-info associated with POST data which has content-type "text/plain", no content-encoding and a length of 255 bytes would be H(:text/plain:255:::). Similarly a request may not have a "Date" header. In this case the date field of the entity-digest should be empty.
すべての実体にはこれらのヘッダーの関連URIかすべてがあるというわけではないことに注意してください。 例えば、ポストの要求のデータである実体には、ダイジェストuri価値、最終更新日またはExpiresヘッダーが通常ないでしょう。 ダイジェストuri価値かヘッダーが実体で実体インフォメーション分野の1つに対応するようにならないなら、その野原は実体インフォメーションの計算がないままにされます。 上で指定されたすべてのコロンが存在している、しかしながら. 例えば、いいえが内容でコード化されて、content type「テキスト/平野」を持っているポストデータに関連している実体インフォメーションの値と255バイトの長さがHであるだろう、(: テキスト/平野: 255:、:、:、) 同様に、要求には、「日付」ヘッダーがないかもしれません。 この場合、実体ダイジェストの年月日欄は空であるべきです。
In the entity-info and entity-digest computations, except for the blank after the comma in "rfc1123-date", there must be no white space between "words" and "tspecials", and exactly one blank between "words" (see section 2.2 of [2]).
「単語」と、"tspecials"と、まさに「単語」の間で空白の1つの間には、「rfc1123-日付」のコンマの後の空白以外に、実体インフォメーションと実体ダイジェスト計算に、余白が全くあるはずがありません。(セクション2.2の[2])を見てください。
Franks, et. al. Standards Track [Page 8] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[8ページ]RFC2069はアクセス認証1997年1月に読みこなします。
Implementors should be aware of how authenticated transactions interact with proxy caches. The HTTP/1.1 protocol specifies that when a shared cache (see section 13.10 of [2]) has received a request containing an Authorization header and a response from relaying that request, it MUST NOT return that response as a reply to any other request, unless one of two Cache-control (see section 14.9 of [2]) directives was present in the response. If the original response included the "must-revalidate" Cache-control directive, the cache MAY use the entity of that response in replying to a subsequent request, but MUST first revalidate it with the origin server, using the request headers from the new request to allow the origin server to authenticate the new request. Alternatively, if the original response included the "public" Cache-control directive, the response entity MAY be returned in reply to any subsequent request.
作成者は認証されたトランザクションがどうプロキシキャッシュと対話するかを意識しているべきです。 [2])のセクション13.10がその要求をリレーするのからAuthorizationヘッダーと応答を含む要求を受け取ったのを確実にしてください、そして、回答としてその応答をいかなる他の要求にも返してはいけません、2の1つがCache制御されないなら。共有されたキャッシュであるときに、HTTP/1.1プロトコルがそれを指定する、((セクション14.9の[2])指示が応答で存在していたのを確実にしてください。 しかし、その後の要求に答えることにおける、その応答の実体がそうしなければならない使用が最初に、それを再有効にしますように。応答はオリジナルであるなら「必須-revalidate」Cache-コントロール指示を含んでいました、キャッシュ、発生源サーバが新しい要求を認証するのを許容するという新しい要求から要求ヘッダーを使用する発生源サーバで。 あるいはまた、オリジナルの応答が「公共」のCache-コントロール指示を含んでいたなら、応答実体はどんなその後の要求に対して返されるかもしれません。
2.1.3 The AuthenticationInfo Header
2.1.3 AuthenticationInfoヘッダー
When authentication succeeds, the Server may optionally provide a Authentication-info header indicating that the server wants to communicate some information regarding the successful authentication (such as an entity digest or a new nonce to be used for the next transaction). It has two fields, digest and nextnonce. Both are optional.
認証が成功すると、Serverは任意にサーバがうまくいっている認証(次のトランザクションに使用されるべき実体ダイジェストか新しい一回だけなどの)の何らかの情報を伝えたがっているのを示すAuthentication-インフォメーションヘッダーを提供するかもしれません。 それは2つの分野、ダイジェスト、およびnextnonceを持っています。 両方が任意です。
AuthenticationInfo = "Authentication-info" ":"
1#( digest | nextnonce )
「AuthenticationInfoは「認証インフォメーション」と等しい」:、」 1#(読みこなしてください| nextnonce)
nextnonce = "nextnonce" "=" nonce-value
nextnonce="nextnonce"は一回だけの値と「等しいです」。
digest = "digest" "=" entity-digest
ダイジェスト=「ダイジェスト」「=」実体ダイジェスト
The optional digest allows the client to verify that the body of the response has not been changed en-route. The server would probably only send this when it has the document and can compute it. The server would probably not bother generating this header for CGI output. The value of the "digest" is an <entity-digest> which is computed as described above.
任意のダイジェストで、クライアントは、応答のボディーが途中で変えられていないことを確かめることができます。 それがドキュメントを持って、それを計算できるときだけ、サーバはたぶんこれを送るでしょう。 サーバはCGI出力のためにたぶんわざわざこのヘッダーを生成しないでしょう。 「ダイジェスト」の値は<が上で説明されるように計算される>を実体で読みこなすということです。
The value of the nextnonce parameter is the nonce the server wishes the client to use for the next authentication response. Note that either field is optional. In particular the server may send the Authentication-info header with only the nextnonce field as a means of implementing one-time nonces. If the nextnonce field is present the client is strongly encouraged to use it for the next WWW- Authenticate header. Failure of the client to do so may result in a request to re-authenticate from the server with the "stale=TRUE."
nextnonceパラメタの値は次の認証応答に使用するサーバがクライアントが必要である一回だけです。 どちらかの分野が任意であることに注意してください。 特に、サーバは1回の一回だけを実装する手段としてnextnonce分野だけがあるAuthentication-インフォメーションヘッダーを送るかもしれません。 nextnonce分野が存在しているなら、次のWWWがヘッダーを認証するのでクライアントがそれを使用するよう強く奨励されます。 クライアントがそうしない場合、「= 本当に古くさくなってください」でサーバから再認証する要求をもたらすかもしれません。
Franks, et. al. Standards Track [Page 9] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[9ページ]RFC2069はアクセス認証1997年1月に読みこなします。
2.2 Digest Operation
2.2 ダイジェスト操作
Upon receiving the Authorization header, the server may check its validity by looking up its known password which corresponds to the submitted username. Then, the server must perform the same MD5 operation performed by the client, and compare the result to the given response-digest.
Authorizationヘッダーを受けると、サーバは、提出されたユーザ名に対応する知られているパスワードを調べることによって、正当性をチェックするかもしれません。 次に、サーバは、クライアントによって実行された同じMD5操作を実行して、与えられた応答ダイジェストに結果をたとえなければなりません。
Note that the HTTP server does not actually need to know the user's clear text password. As long as H(A1) is available to the server, the validity of an Authorization header may be verified.
HTTPサーバが実際にユーザのクリアテキストパスワードを知る必要はないことに注意してください。 H(A1)がサーバに利用可能である限り、Authorizationヘッダーの正当性は確かめられるかもしれません。
A client may remember the username, password and nonce values, so that future requests within the specified <domain> may include the Authorization header preemptively. The server may choose to accept the old Authorization header information, even though the nonce value included might not be fresh. Alternatively, the server could return a 401 response with a new nonce value, causing the client to retry the request. By specifying stale=TRUE with this response, the server hints to the client that the request should be retried with the new nonce, without reprompting the user for a new username and password.
クライアントはユーザ名、パスワード、および一回だけの値を覚えているかもしれません、指定された<ドメイン>の中の今後の要求が先制的にAuthorizationヘッダーを含むことができるように。 サーバは、古いAuthorizationヘッダー情報を受け入れるのを選ぶかもしれません、値を含んでいる一回だけが新鮮でないかもしれませんが。 あるいはまた、クライアントが要求を再試行することを引き起こして、サーバは新しい一回だけの値がある401応答を返すかもしれません。 この応答で聞き古した=TRUEを指定することによって、サーバは、要求が新しい一回だけで再試行されるべきであるとクライアントに暗示します、新しいユーザ名とパスワードのためにユーザを「再-うなが」さないで。
The opaque data is useful for transporting state information around. For example, a server could be responsible for authenticating content which actually sits on another server. The first 401 response would include a domain field which includes the URI on the second server, and the opaque field for specifying state information. The client will retry the request, at which time the server may respond with a 301/302 redirection, pointing to the URI on the second server. The client will follow the redirection, and pass the same Authorization header, including the <opaque> data which the second server may require.
不明瞭なデータは周囲で州の情報を輸送することの役に立ちます。 例えば、サーバは実際に別のサーバに座る内容を認証するのに原因となるかもしれません。最初の401応答は2番目のサーバのURI、および州の情報を指定するための不透明な分野を含んでいるドメイン分野を含んでいるでしょう。 クライアントは要求を再試行するでしょう、2番目のサーバにURIを示して。クライアントは、リダイレクションの後をつけて、同じAuthorizationヘッダーを渡すでしょう、2番目のサーバが必要とするかもしれない<の不明瞭な>データを含んでいて。(サーバはその時に要求のために301/302リダイレクションで反応するかもしれません)。
As with the basic scheme, proxies must be completely transparent in the Digest access authentication scheme. That is, they must forward the WWW-Authenticate, Authentication-info and Authorization headers untouched. If a proxy wants to authenticate a client before a request is forwarded to the server, it can be done using the Proxy- Authenticate and Proxy-Authorization headers described in section 2.5 below.
基本的な体系なら、プロキシはDigestアクセス認証体系で完全に透明でなければなりません。 すなわち、前方にそうしなければならない、WWW認証、Authentication-インフォメーションとAuthorizationヘッダー、触れません。 要求をサーバに転送する前にプロキシがクライアントを認証したいなら、Proxyが認証する使用と下のセクション2.5で説明されたProxy-承認ヘッダーにそれができます。
2.3 Security Protocol Negotiation
2.3 セキュリティ議定書交渉
It is useful for a server to be able to know which security schemes a client is capable of handling.
サーバが、クライアントがどのセキュリティ体系を扱うことができるかを知ることができるのは、役に立ちます。
If this proposal is accepted as a required part of the HTTP/1.1 specification, then a server may assume Digest support when a client
クライアントであるときに、この提案がHTTP/1.1仕様の必要な部分として認められるなら、サーバはDigestサポートを仮定するかもしれません。
Franks, et. al. Standards Track [Page 10] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[10ページ]RFC2069はアクセス認証1997年1月に読みこなします。
identifies itself as HTTP/1.1 compliant.
HTTP/1.1として言いなりになった状態でそれ自体を特定します。
It is possible that a server may want to require Digest as its authentication method, even if the server does not know that the client supports it. A client is encouraged to fail gracefully if the server specifies any authentication scheme it cannot handle.
サーバが認証方法としてDigestを必要としたがっているのは、可能です、サーバが、クライアントがそれをサポートするのを知らないでも。 サーバが何かそれが扱うことができない認証体系を指定するなら、クライアントが優雅に失敗するよう奨励されます。
2.4 Example
2.4 例
The following example assumes that an access-protected document is being requested from the server. The URI of the document is "http://www.nowhere.org/dir/index.html". Both client and server know that the username for this document is "Mufasa", and the password is "CircleOfLife".
以下の例は、アクセスで保護されたドキュメントがサーバから要求されていると仮定します。ドキュメントのURIは" http://www.nowhere.org/dir/index.html "です。 クライアントとサーバの両方がこのドキュメントのためのユーザ名が"Mufasa"であり、パスワードが"CircleOfLife"であると知っています。
The first time the client requests the document, no Authorization header is sent, so the server responds with:
1回目に、クライアントはドキュメントを要求します、Authorizationヘッダーを全く送りません、したがって、サーバが以下で反応します。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest realm="testrealm@host.com",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
HTTP、/1.1 401権限のない、以下をWWW認証してください。 分野=" testrealm@host.com "、一回だけ=を読みこなしてください、「dcd98b7102dd2f0e8b11d0f600bfb0c093"、不透明な="5ccc069c403ebaf9f0171e9517f40e41""
The client may prompt the user for the username and password, after which it will respond with a new request, including the following Authorization header:
クライアントはそれが新しい要求で応じるユーザ名とパスワードのためにユーザをうながすかもしれません、以下のAuthorizationヘッダーを含んでいて:
Authorization: Digest username="Mufasa",
realm="testrealm@host.com",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
uri="/dir/index.html",
response="e966c932a9242554e42c8ee200cec7f6",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
承認: ユーザ名="Mufasa"、分野=" testrealm@host.com "一回だけ=を読みこなしてください、「dcd98b7102dd2f0e8b11d0f600bfb0c093"、uri="/dir/index.html"応答=、「e966c932a9242554e42c8ee200cec7f6"、不透明な="5ccc069c403ebaf9f0171e9517f40e41""
2.5 Proxy-Authentication and Proxy-Authorization
2.5 プロキシ認証とプロキシ承認
The digest authentication scheme may also be used for authenticating users to proxies, proxies to proxies, or proxies to end servers by use of the Proxy-Authenticate and Proxy-Authorization headers. These headers are instances of the general Proxy-Authenticate and Proxy- Authorization headers specified in sections 10.30 and 10.31 of the HTTP/1.1 specification [2] and their behavior is subject to restrictions described there. The transactions for proxy authentication are very similar to those already described. Upon receiving a request which requires authentication, the proxy/server must issue the "HTTP/1.1 401 Unauthorized" header followed by a "Proxy-Authenticate" header of the form
また、ダイジェスト認証体系がプロキシ、プロキシのプロキシ、または使用によるサーバを終わらせるプロキシにユーザを認証するのに使用されるかもしれない、Proxy認証、そして、Proxy-承認ヘッダー。 これらのヘッダーはそうです。司令官のインスタンスはProxy認証して、HTTP/1.1仕様[2]と彼らの振舞いのセクション10.30と10.31で指定された承認ヘッダーを条件としているProxy制限はそこで説明しました。 プロキシ認証のためのトランザクションは既に説明されたものと非常に同様です。 プロキシ/サーバが、要求を受け取ると、どれが認証を必要とするかを発行しなければならない、「HTTP、/1.1 401権限のない、」 ヘッダー、続かれて、aがヘッダーを「プロキシで認証する」、フォーム
Franks, et. al. Standards Track [Page 11] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[11ページ]RFC2069はアクセス認証1997年1月に読みこなします。
Proxy-Authentication = "Proxy-Authentication" ":" "Digest"
digest-challenge
「プロキシ認証は「プロキシ認証」と等しい」:、」 「ダイジェスト」ダイジェスト挑戦
where digest-challenge is as defined above in section 2.1. The client/proxy must then re-issue the request with a Proxy-Authenticate header of the form
ダイジェスト挑戦が定義されるとしてセクション2.1にあります。 aとの要求がProxy認証するクライアント/プロキシの必須の当時の再発行、形式のヘッダー
Proxy-Authorization = "Proxy-Authorization" ":"
digest-response
「プロキシ承認=「プロキシ承認」」:、」 ダイジェスト応答
where digest-response is as defined above in section 2.1. When authentication succeeds, the Server may optionally provide a Proxy- Authentication-info header of the form
ダイジェスト応答が定義されるとしてセクション2.1にあります。 認証が成功すると、Serverは任意に形式のProxy認証インフォメーションヘッダーを提供するかもしれません。
Proxy-Authentication-info = "Proxy-Authentication-info" ":" nextnonce
「プロキシ認証インフォメーションは「プロキシ認証インフォメーション」と等しい」:、」 nextnonce
where nextnonce has the same semantics as the nextnonce field in the Authentication-info header described above in section 2.1.
nextnonceが上でセクション2.1で説明されたAuthentication-インフォメーションヘッダーのnextnonce分野と同じ意味論を持っているところ。
Note that in principle a client could be asked to authenticate itself to both a proxy and an end-server. It might receive an "HTTP/1.1 401 Unauthorized" header followed by both a WWW-Authenticate and a Proxy-Authenticate header. However, it can never receive more than one Proxy-Authenticate header since such headers are only for immediate connections and must not be passed on by proxies. If the client receives both headers, it must respond with both the Authorization and Proxy-Authorization headers as described above, which will likely involve different combinations of username, password, nonce, etc.
原則として、クライアントがプロキシとエンドサーバの両方にそれ自体を認証するように頼むことができたことに注意してください。受信するかもしれない、「HTTP、/1.1 401権限のない、」 ヘッダーはaがWWW認証する両方で続いて、aはヘッダーをProxy認証します。 しかしながら、そのようなヘッダーが即座の接続のためだけにあって、プロキシによって伝えられてはいけないので、それは人がヘッダーをProxy認証するより決して受信されることができません。 クライアントが両方のヘッダーを受け取るなら、それはAuthorizationと上で説明されるProxy-承認ヘッダーの両方で応じなければなりません。(おそらく、それは、ユーザ名、パスワード、一回だけなどの異なった組み合わせにかかわるでしょう)。
3. Security Considerations
3. セキュリティ問題
Digest Authentication does not provide a strong authentication mechanism. That is not its intent. It is intended solely to replace a much weaker and even more dangerous authentication mechanism: Basic Authentication. An important design constraint is that the new authentication scheme be free of patent and export restrictions.
ダイジェストAuthenticationは強い認証機構を提供しません。 それはその意図ではありません。 唯一はるかに弱くてさらに危険な認証機構を置き換えるのは意図しています: 基本認証。 重要なデザイン規制は新しい認証体系には特許と輸出制限がないということです。
Most needs for secure HTTP transactions cannot be met by Digest Authentication. For those needs SSL or SHTTP are more appropriate protocols. In particular digest authentication cannot be used for any transaction requiring encrypted content. Nevertheless many functions remain for which digest authentication is both useful and appropriate.
Digest Authenticationは安全なHTTPトランザクションのほとんどの需要を満たすことができません。 それらの必要性のために、SSLかSHTTPが、より適切なプロトコルです。 特に、暗号化された内容を必要とするどんなトランザクションにもダイジェスト認証を使用できません。 どのダイジェスト認証が役に立って、かつ適切であるかので、それにもかかわらず、多くの機能が残っています。
Franks, et. al. Standards Track [Page 12] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[12ページ]RFC2069はアクセス認証1997年1月に読みこなします。
3.1 Comparison with Basic Authentication
3.1 基本認証との比較
Both Digest and Basic Authentication are very much on the weak end of the security strength spectrum. But a comparison between the two points out the utility, even necessity, of replacing Basic by Digest.
DigestとBasic Authenticationの両方がセキュリティ強さスペクトルの弱い終わりのまさしくそのいろいろな事です。 しかし、2での比較はユーティリティ、BasicをDigestに取り替えるという必要性さえ指摘します。
The greatest threat to the type of transactions for which these protocols are used is network snooping. This kind of transaction might involve, for example, online access to a database whose use is restricted to paying subscribers. With Basic authentication an eavesdropper can obtain the password of the user. This not only permits him to access anything in the database, but, often worse, will permit access to anything else the user protects with the same password.
これらのプロトコルが使用されているトランザクションのタイプへの最大の脅威はネットワーク詮索です。 この種類のトランザクションは使用が加入者に支払うのに制限されるデータベースへの例えば、オンラインのアクセスにかかわるかもしれません。 Basic認証で、立ち聞きする者はユーザのパスワードを得ることができます。 彼がデータベースの何にでもアクセスすることを許可するだけではなく、これはしばしばよりひどくユーザが同じパスワードで保護する他の何かへのアクセスを可能にするでしょう。
By contrast, with Digest Authentication the eavesdropper only gets access to the transaction in question and not to the user's password. The information gained by the eavesdropper would permit a replay attack, but only with a request for the same document, and even that might be difficult.
対照的に、Digest Authenticationと共に、立ち聞きする者はユーザのパスワードではなく、問題のトランザクションへのアクセスを得るだけです。 立ち聞きする者によって獲得された情報は、反射攻撃を可能にするでしょうが、単に同じドキュメント、さらにおよびそれさえを求める要求によって難しいかもしれません。
3.2 Replay Attacks
3.2の反射攻撃
A replay attack against digest authentication would usually be pointless for a simple GET request since an eavesdropper would already have seen the only document he could obtain with a replay. This is because the URI of the requested document is digested in the client response and the server will only deliver that document. By contrast under Basic Authentication once the eavesdropper has the user's password, any document protected by that password is open to him. A GET request containing form data could only be "replayed" with the identical data. However, this could be problematic if it caused a CGI script to take some action on the server.
立ち聞きする者は既に彼が再生で入手できるだろう唯一のドキュメントを見たでしょう、したがって、簡単なGET要求には、通常、ダイジェスト認証に対する反射攻撃が無意味でしょう。 これは要求されたドキュメントのURIがクライアント応答で読みこなされて、サーバがそのドキュメントを提供するだけであるからです。 対照的に、立ち聞きする者にユーザのパスワードがいったんあると、Basic Authenticationの下では、彼にとって、そのパスワードによって保護されたどんなドキュメントも開いています。 同じデータでフォームデータを含むGET要求は「再演できただけです」。 しかしながら、CGIスクリプトがそれでサーバをいくつか実行するなら、これは問題が多いかもしれないでしょうに。
Thus, for some purposes, it is necessary to protect against replay attacks. A good digest implementation can do this in various ways. The server created "nonce" value is implementation dependent, but if it contains a digest of the client IP, a time-stamp, and a private server key (as recommended above) then a replay attack is not simple. An attacker must convince the server that the request is coming from a false IP address and must cause the server to deliver the document to an IP address different from the address to which it believes it is sending the document. An attack can only succeed in the period before the time-stamp expires. Digesting the client IP and time- stamp in the nonce permits an implementation which does not maintain state between transactions.
したがって、いくつかの目的に、反射攻撃から守るのが必要です。 良いダイジェスト実装はいろいろこれができます。 サーバの作成された「一回だけ」値は実装に依存していますが、クライアントIP、タイムスタンプ、および個人的なサーバキーのダイジェストを含んでいるなら(上で推薦されるように)、反射攻撃は簡単ではありません。 攻撃者は、要求で誤ったIPアドレスから来て、サーバがそれがドキュメントを送ると信じているアドレスと異なったIPアドレスにドキュメントを提供しなければならないとサーバに納得させなければなりません。 タイムスタンプが期限が切れる前に攻撃は時代に成功できるだけです。 一回だけでクライアントIPと時間スタンプを消化すると、トランザクションの間の状態を維持しない実装は可能にします。
Franks, et. al. Standards Track [Page 13] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[13ページ]RFC2069はアクセス認証1997年1月に読みこなします。
For applications where no possibility of replay attack can be tolerated the server can use one-time response digests which will not be honored for a second use. This requires the overhead of the server remembering which digests have been used until the nonce time-stamp (and hence the digest built with it) has expired, but it effectively protects against replay attacks. Instead of maintaining a list of the values of used digests, a server would hash these values and require re-authentication whenever a hash collision occurs.
反射攻撃の可能性を全く許容できないアプリケーションのために、サーバは2番目の使用のために光栄に思われない1回の応答ダイジェストを使用できます。 これは一回だけのタイムスタンプ(したがって、ダイジェストはそれで建てられた)が期限が切れましたが、事実上、反射攻撃から守るまでどのダイジェストが使用されたかを覚えているサーバのオーバーヘッドを必要とします。 中古のダイジェストの値のリストを維持することの代わりに、ハッシュ衝突が起こるときはいつも、サーバは、これらの値を論じ尽くして、再認証を必要とするでしょう。
An implementation must give special attention to the possibility of replay attacks with POST and PUT requests. A successful replay attack could result in counterfeit form data or a counterfeit version of a PUT file. The use of one-time digests or one-time nonces is recommended. It is also recommended that the optional <digest> be implemented for use with POST or PUT requests to assure the integrity of the posted data. Alternatively, a server may choose to allow digest authentication only with GET requests. Responsible server implementors will document the risks described here as they pertain to a given implementation.
実装はポストとPUT要求による反射攻撃の可能性に関する特別な注意を与えなければなりません。 うまくいっている反射攻撃はにせのフォームデータかPUTファイルのにせのバージョンをもたらすかもしれません。 1回のダイジェストか1回の一回だけの使用はお勧めです。 また、任意の<ダイジェスト>が使用のためにポストか掲示されたデータを保全に保証するというPUT要求で実装されるのも、お勧めです。 あるいはまた、サーバは、単にGET要求によるダイジェスト認証を許すのを選ぶかもしれません。 責任があるサーバ作成者は与えられた実装に関するのでここで説明された危険を記録するでしょう。
3.3 Man in the Middle
3.3 中央でやれやれ
Both Basic and Digest authentication are vulnerable to "man in the middle" attacks, for example, from a hostile or compromised proxy. Clearly, this would present all the problems of eavesdropping. But it could also offer some additional threats.
例えば、BasicとDigest認証の両方が敵対的であるか感染しているプロキシから「中央の男性」攻撃に被害を受け易いです。 明確に、これは盗聴のすべての問題を提示するでしょう。 しかし、また、それはいくつかの追加脅威を提供するかもしれません。
A simple but effective attack would be to replace the Digest challenge with a Basic challenge, to spoof the client into revealing their password. To protect against this attack, clients should remember if a site has used Digest authentication in the past, and warn the user if the site stops using it. It might also be a good idea for the browser to be configured to demand Digest authentication in general, or from specific sites.
簡単な、しかし、有効な攻撃はそれらのパスワードを明らかにするのにクライアントを偽造するためにDigest挑戦をBasic挑戦に取り替えるだろうことです。 クライアントは、この攻撃から守るために、サイトが過去にDigest認証を使用したかどうかを覚えていて、サイトが、それを使用するのを止めるかどうかとユーザに警告するべきです。 また、ブラウザが一般にか特定のサイトからDigest認証を要求するために構成されるのは、名案であるかもしれません。
Or, a hostile proxy might spoof the client into making a request the attacker wanted rather than one the client wanted. Of course, this is still much harder than a comparable attack against Basic Authentication.
または、敵対的なプロキシは、要求をすることへのクライアントがクライアントが欲しかった1つよりむしろ指名手配中である攻撃者であると偽造するかもしれません。 もちろん、これはまだBasic Authenticationに対する匹敵する攻撃より一生懸命多いです。
There are several attacks on the "digest" field in the Authentication-info header. A simple but effective attack is just to remove the field, so that the client will not be able to use it to detect modifications to the response entity. Sensitive applications may wish to allow configuration to require that the digest field be present when appropriate. More subtly, the attacker can alter any of the entity-headers not incorporated in the computation of the digest, The attacker can alter most of the request headers in the client's
いくつかの攻撃がAuthentication-インフォメーションヘッダーの「ダイジェスト」フィールドにあります。 簡単な、しかし、有効な攻撃はまさしく野原を取り除くことです、クライアントが応答実体への変更を検出するのにそれを使用できないように。 敏感なアプリケーションは、構成が、適切であるときに、ダイジェスト分野が存在しているのを必要とするのを許容したがっているかもしれません。 よりかすかに、攻撃者はダイジェストの計算に組み込まれなかった実体ヘッダーのどれかを変更できて、攻撃者はクライアントのところで要求ヘッダーの大部分を変更できます。
Franks, et. al. Standards Track [Page 14] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[14ページ]RFC2069はアクセス認証1997年1月に読みこなします。
request, and can alter any response header in the origin-server's reply, except those headers whose values are incorporated into the "digest" field.
発生源サーバの回答におけるどんな応答ヘッダも要求して、変更できます、値が「ダイジェスト」分野に組み入れられるそれらのヘッダーを除いて。
Alteration of Accept* or User-Agent request headers can only result in a denial of service attack that returns content in an unacceptable media type or language. Alteration of cache control headers also can only result in denial of service. Alteration of Host will be detected, if the full URL is in the response-digest. Alteration of Referer or From is not important, as these are only hints.
Accept*かUser-エージェント要求ヘッダーの変更は容認できないメディアタイプか言語の内容を返すサービス不能攻撃をもたらすことができるだけです。 キャッシュ制御ヘッダーの変更もサービスの否定をもたらすことができるだけです。 完全なURLが応答ダイジェストにあると、Hostの変更は検出されるでしょう。 RefererかFromの変更は、これらがヒントにすぎないので、重要ではありません。
3.4 Spoofing by Counterfeit Servers
3.4 にせのサーバでだますこと。
Basic Authentication is vulnerable to spoofing by counterfeit servers. If a user can be led to believe that she is connecting to a host containing information protected by a password she knows, when in fact she is connecting to a hostile server, then the hostile server can request a password, store it away for later use, and feign an error. This type of attack is more difficult with Digest Authentication -- but the client must know to demand that Digest authentication be used, perhaps using some of the techniques described above to counter "man-in-the-middle" attacks.
基本的なAuthenticationはにせのサーバでだますのに被害を受け易いです。 ユーザが、彼女がパスワードによって保護された情報を含むホストに接していると信じているように導くことができるなら、彼女は知っています、事実上、彼女が敵対的なサーバに接続していて、次に、敵対的なサーバがパスワードを要求して、後の使用のためにそれを蓄えて、誤りのふりをすることができるとき。 このタイプの攻撃はDigest Authenticationによって、より難しいです--クライアントだけが、Digest認証が使用されるのを要求するのを知らなければなりません、恐らく「中央の男性」攻撃に対抗するために上で説明されたテクニックのいくつかを使用して。
3.5 Storing passwords
3.5 パスワードを保存すること。
Digest authentication requires that the authenticating agent (usually the server) store some data derived from the user's name and password in a "password file" associated with a given realm. Normally this might contain pairs consisting of username and H(A1), where H(A1) is the digested value of the username, realm, and password as described above.
ダイジェスト認証は、認証しているエージェント(通常サーバ)が与えられた分野に関連している「パスワードファイル」のユーザの名前とパスワードから得られたいくつかのデータを保存するのを必要とします。 通常、これはユーザ名から成る組を含むかもしれません、そして、H(A1)、どこH(A1)は上で説明されるようにユーザ名、分野、およびパスワードの読みこなされた値であるか。
The security implications of this are that if this password file is compromised, then an attacker gains immediate access to documents on the server using this realm. Unlike, say a standard UNIX password file, this information need not be decrypted in order to access documents in the server realm associated with this file. On the other hand, decryption, or more likely a brute force attack, would be necessary to obtain the user's password. This is the reason that the realm is part of the digested data stored in the password file. It means that if one digest authentication password file is compromised, it does not automatically compromise others with the same username and password (though it does expose them to brute force attack).
このセキュリティ含意はこのパスワードファイルが感染されるなら攻撃者がこの分野を使用することでサーバのドキュメントへの即座のアクセスを得るということです。 異なります、たとえば、標準のUNIXパスワードファイル、この情報は、このファイルに関連しているサーバ分野でドキュメントにアクセスするために解読される必要はありません。 他方では、復号化、またはおそらくブルートフォースアタックが、ユーザのパスワードを得るのに必要でしょう。 これは分野がパスワードファイルに保存された読みこなされたデータの一部である理由です。 それは、1個のダイジェスト認証パスワードファイルが感染されるなら、同じユーザ名とパスワードで自動的に他のものに感染しないことを意味します(ブルートフォースアタックに彼らを暴露しますが)。
There are two important security consequences of this. First the password file must be protected as if it contained unencrypted passwords, because for the purpose of accessing documents in its realm, it effectively does.
この2つの重要なセキュリティ結果があります。 まず最初に、まるで非暗号化されたパスワードを含んでいるかのようにパスワードファイルを保護しなければなりません、分野でドキュメントにアクセスする目的のために事実上するので。
Franks, et. al. Standards Track [Page 15] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[15ページ]RFC2069はアクセス認証1997年1月に読みこなします。
A second consequence of this is that the realm string should be unique among all realms which any single user is likely to use. In particular a realm string should include the name of the host doing the authentication. The inability of the client to authenticate the server is a weakness of Digest Authentication.
この2番目の結果は分野ストリングがどんなシングルユーザーも使用しそうであるすべての分野の中でユニークであるべきであるということです。 特に、分野ストリングは認証をしているホストの名前を含んでいるはずです。 クライアントがサーバを認証できないことはDigest Authenticationの弱点です。
3.6 Summary
3.6 概要
By modern cryptographic standards Digest Authentication is weak. But for a large range of purposes it is valuable as a replacement for Basic Authentication. It remedies many, but not all, weaknesses of Basic Authentication. Its strength may vary depending on the implementation. In particular the structure of the nonce (which is dependent on the server implementation) may affect the ease of mounting a replay attack. A range of server options is appropriate since, for example, some implementations may be willing to accept the server overhead of one-time nonces or digests to eliminate the possibility of replay while others may satisfied with a nonce like the one recommended above restricted to a single IP address and with a limited lifetime.
現代の暗号の規格で、Digest Authenticationは弱いです。 しかし、広範囲な目的のために、それはBasic Authenticationとの交換として貴重です。 それは弱点ではなく、Basic Authenticationの多くを改善します。 実装によって、強さは異なるかもしれません。 特に、一回だけ(サーバ実装に依存している)の構造は反射攻撃を取り付ける容易さに影響するかもしれません。 さまざまなサーバオプションが、例えば、いくつかの実装が、1回の一回だけのサーバオーバーヘッドを受け入れても構わないと思っているかもしれないので適切であるか、または上でただ一つのIPアドレスに制限されていた状態で推薦されたもののような一回だけと限られた生涯で満足していた状態で他のものがそうするかもしれない間の再生の可能性を排除するために読みこなされます。
The bottom line is that *any* compliant implementation will be relatively weak by cryptographic standards, but *any* compliant implementation will be far superior to Basic Authentication.
結論は*どんな*対応することの実装も暗号の規格で比較的弱くなりますが、*どんな*対応することの実装もBasic Authenticationよりはるかに優れるということです。
4. Acknowledgments
4. 承認
In addition to the authors, valuable discussion instrumental in creating this document has come from Peter J. Churchyard, Ned Freed, and David M. Kristol.
作者に加えて、このドキュメントを作成する際に手段になっている貴重な議論はピーターJ.Churchyard、ネッド・フリード、およびデヴィッド・M.クリストルから来ました。
5. References
5. 参照
[1] Berners-Lee, T., Fielding, R., and H. Frystyk,
"Hypertext Transfer Protocol -- HTTP/1.0",
RFC 1945, May 1996.
[1] バーナーズ・リー、T.、フィールディング、R.、およびH.Frystyk、「HTTP/1インチ、RFC1945、1996年ハイパーテキスト転送プロトコル--5月。」
[2] Berners-Lee, T., Fielding, R., and H. Frystyk,
"Hypertext Transfer Protocol -- HTTP/1.1"
RFC 2068, January 1997.
[2]バーナーズ・リー、T.、フィールディング、R.、およびH.Frystyk、「HTTP/1.1インチRFCハイパーテキスト転送プロトコル--2068、1997年1月。」
[3] Rivest, R., "The MD5 Message-Digest Algorithm",
RFC 1321, April 1992.
[3] 1992年4月、最もRivestなR.、「MD5メッセージダイジェストアルゴリズム」RFC1321。
Franks, et. al. Standards Track [Page 16] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[16ページ]RFC2069はアクセス認証1997年1月に読みこなします。
6. Authors' Addresses
6. 作者のアドレス
John Franks Professor of Mathematics Department of Mathematics Northwestern University Evanston, IL 60208-2730, USA
数学ノースウェスタン大学エバンストン、IL60208-2730(米国)の数学部のジョンフランクス教授
EMail: john@math.nwu.edu
メール: john@math.nwu.edu
Phillip M. Hallam-Baker European Union Fellow CERN Geneva Switzerland
フィリップM.ハラム-ベイカーヨーロッパ連合の仲間CERNジュネーブスイス
EMail: hallam@w3.org
メール: hallam@w3.org
Jeffery L. Hostetler Senior Software Engineer Spyglass, Inc. 3200 Farber Drive Champaign, IL 61821, USA
イリノイ 61821、ジェフェリー・L.のHostetlerの年上のソフトウェア技術者スパイグラスInc.3200ファーバー・Driveシャンペーン(米国)
EMail: jeff@spyglass.com
メール: jeff@spyglass.com
Paul J. Leach Microsoft Corporation 1 Microsoft Way Redmond, WA 98052, USA
ポールJ.リーチマイクロソフト社1マイクロソフト道、ワシントン 98052、レッドモンド(米国)
EMail: paulle@microsoft.com
メール: paulle@microsoft.com
Ari Luotonen Member of Technical Staff Netscape Communications Corporation 501 East Middlefield Road Mountain View, CA 94043, USA
技術スタッフのネットスケープ社501の東Middlefield Roadマウンテンビュー、カリフォルニア 94043、米国のアリLuotonenメンバー
EMail: luotonen@netscape.com
メール: luotonen@netscape.com
Franks, et. al. Standards Track [Page 17] RFC 2069 Digest Access Authentication January 1997
etフランクス、アル。 標準化過程[17ページ]RFC2069はアクセス認証1997年1月に読みこなします。
Eric W. Sink Senior Software Engineer Spyglass, Inc. 3200 Farber Drive Champaign, IL 61821, USA
イリノイ 61821、エリック・W.の流し台の年上のソフトウェア技術者スパイグラスInc.3200ファーバー・Driveシャンペーン(米国)
EMail: eric@spyglass.com
メール: eric@spyglass.com
Lawrence C. Stewart Open Market, Inc. 215 First Street Cambridge, MA 02142, USA
通りケンブリッジ、最初に、MA 02142、ローレンスC.スチュワートオープンマーケットInc.215米国
EMail: stewart@OpenMarket.com
メール: stewart@OpenMarket.com
Franks, et. al. Standards Track [Page 18]
etフランクス、アル。 標準化過程[18ページ]
一覧
スポンサーリンク
