linux-l: aeh, what ?

[Jens Helweg]

> Gleich vorweg: ich weiss nicht, was die sich dabei gedacht haben
> moegen.
>

Tja...Also, das macht dann aber doch auch nicht viel Sinn, weil wenn ich
es schaffe
das verschluesselte Passwort abzufangen, dann kann ich das doch einfach
nutzen, da es vom Server doch akzeptiert wird, oder ?Damit haette ich
doch dann Zugang.Vorausgesetzt man verwendet bei dieser Methode nicht
irgendein Secret, wie es bei
CHAP der Fall ist.
Ob ich das im Klartext oder verschluesselt an den Server sende ist dem
Server
ja egal. Der will ja nur den richtigen Wert haben.

> Wirklich sicherer ist dies nicht, da der Angreifer nur noch seine PPP
> implementierung dahingegen modifizieren muss, dass die (bereits ver-
> schluesselten) Passwoerter ohne (weitere) verschluesselung uebertragen
>
> werden.
>

Das ist ja durchaus im Bereich des Möglichen und deswegen traegt das
ganze janicht besonders zur Sicherheit bei.

Aber trotzdem vielen Dank.... (auch an marius)
Gruesse.....
                    JENS