Ich habe einen Testclient und -server mithilfe der Cyrus SASL-Bibliothek geschrieben und zwinge ihn manuell, GSSAPI als Mechanismus auszuwählen. Während des Debuggens habe ich die MD5-Summe jeder Nachricht gedruckt, die zwischen den beiden ausgetauscht wurde. Mir ist aufgefallen, dass die Sequenz bei jeder Verbindung dieselbe zu sein scheint. Das heißt, wenn die Nachrichtensequenz bei der ersten Aushandlung bis zur erfolgreichen Authentifizierung clientMessage1, serverResponse1, clientMessage2 usw. war, wird beim anschließenden Neustart meines Clients dieselbe Sequenz clientMessage1, serverResponse2, clientMessage2 usw. wiederholt.
Es scheint mir, als wäre das ein Sicherheitsrisiko. Ist das das richtige Verhalten und wenn ja, sollte ich diese Kommunikation in TLS oder etwas Ähnliches verpacken?
Antwort1
GSSAPI kann eine beliebige Anzahl zugrunde liegender Protokolle verwenden. Sie haben jedoch Recht, es könnte zu einem Replay-Angriff kommen, wenn dieselben Nachrichten wiederholt werden.
Wissen Sie, welches Low-Level-Protokoll über GSSAPI verwendet wurde?