¿Debo mantener el token NTLM en el encabezado de Autorización HTTP en secreto?

6

Estoy solucionando un problema con uno de nuestros proveedores y planeo enviarles un seguimiento Fiddler del tráfico http entre el cliente y nuestros servidores mientras se replica el problema.

Nuestros servidores utilizan la autenticación NTLM, por lo que el token NTLM se pasa en el encabezado de autorización http. Si el token capturado en la traza de Fiddler puede ser usado por otra persona para hacerse pasar por el usuario autenticado que necesito para borrarlo de la traza. ¿Es necesario que lo limpie?

    
pregunta Brian Cauthon 27.11.2012 - 16:10
fuente

1 respuesta

0

Sí, debe eliminar el encabezado de autorización a menos que esté absolutamente seguro de que se estaba usando NTLMv2.

NTLMv1 es muy débil; alguien podría fácilmente forzar la contraseña de su usuario y luego hacerse pasar por él. Con NTLMv2 eso no es posible.

Cualquiera de las dos versiones de NTLM autentica la conexión TCP con un desafío / respuesta aleatoria, por lo que no existe un peligro real de que un atacante reutilice el token por suplantación.

Lamentablemente, no es posible determinar qué versión de NTLM se usó mirando solo el token. Realmente necesita verificar la configuración de seguridad NTLM tanto para el cliente como para el servidor en el momento en que se estableció la conexión TCP. Si no puede hacerlo, elimine el encabezado de autorización.

    
respondido por el SquareRootOfTwentyThree 27.11.2012 - 23:40
fuente

Lea otras preguntas en las etiquetas