[quote=esskar,16.02.2006, 12:33][quote=pq,16.02.2006, 12:27]"NTLM ist ein propriäterer Standard der Firma Microsoft und ist daher fast ausschließlich in Produkten dieses Herstellers implementiert."
haha[/quote]
*räusper*: http://www.innovation.ch/personal/ronald/ntlm.html[/quote]
sorry, aber das steht so im wiki-artikel.

[quote=esskar,16.02.2006, 13:27]hmm. ist wohl die sicherste art der authentifizierung über den browser, da keine passwort im klartext beim server ankommt.[/quote]
Was ist an NTLM jetzt besser als an HTTP Digest Authentication?

[quote=Dubu,16.02.2006, 16:43]Was ist an NTLM jetzt besser als an HTTP Digest Authentication?[/quote]
hehe ... das kannte ich wiederrum nicht!

aber: wie frag ich jetzt z.b. meinen Domain-Controller, ob das passwort stimmt? Ich - als WebServer - weiß ja das Passwort des Users nicht. Vielleicht geht da ne MD5 Anfrage - sicher bin ich mir aber nicht bzw. weiß ich es einfach nicht.

[quote=esskar,16.02.2006, 13:27][quote=Crian,16.02.2006, 13:03]aha danke ... brauch ich nicht =)[/quote]
hmm. ist wohl die sicherste art der authentifizierung über den browser, da keine passwort im klartext beim server ankommt.[/quote]
Man benutzt doch dann sowieso https, oder?

[quote=ptk,16.02.2006, 21:35][quote=esskar,16.02.2006, 13:27][quote=Crian,16.02.2006, 13:03]aha danke ... brauch ich nicht =)[/quote]
hmm. ist wohl die sicherste art der authentifizierung über den browser, da keine passwort im klartext beim server ankommt.[/quote]
Man benutzt doch dann sowieso https, oder?[/quote]
deswegen hab ich ja auch geschrieben, dass kein passwort im klartext beim server ankommt. das klartext password kennt nur der user selbst! ich glaube, dass wird (nach jahren) auch nirgends mehr klar in windows gespeichert

zum Kontext: Mit NTLM kann man dann als Webserver prüfen, ob der sich anmeldende User zu einer Domain gehört, die man kennt und der man Vertrauen schenkt. Desweiteren könnte man sich auch weiter als dieser user impersonifizieren und dann z.B. weitere Daten abfragen, die nur dieser User abfragen darf. Jetzt alles auf NT Security hinbezogen.

M. W. geht deshalb kein Kennwort über die Leitung, weil ein Challenge-Response-Verfahren verwendet wird. Der Web-Server schickt einen Zufallswert (Challenge) an den Client und den Domain-Controller (Active Directory), die ja beide Kenntnis vom Passwort haben. Beide erzeugen mit dem Passwort und der Challenge einen Hash-Wert (Response) und schicken das an den Web-Server zurück. Stimmen beide Responses überein, gilt der Benutzer als authentifiziert.

Mal aus der Apache Doku zum Thema Digest Authentification:

Quote

Using digest authentication, your password is never sent across the network in the clear, but is always transmitted as an MD5 digest of the user's password. In this way, the password cannot be determined by sniffing network traffic.

Normal arbeitet das auch mit ner Passwort-Datei auf dem Server. Aber man kann das ganze ja auch mit ner DB oder mit LDAP koppeln denke ich mal.

ja, dagegen ist auch nix einzuwenden.