Новая спецификация безопасности Web-серверов обретает поддержку

Скотт Петерсен, Джим Керстеттер

Проблема обеспечения защиты на основе стандартов давно волнует пользователей и производителей сетевых средств. Принятие единой спецификации в этой области, как надеются и те и другие, значительно повысит уровень безопасности Web-серверов и снизит расход их ресурсов на шифрование.

В июне группа IETF (Internet Engineering Task Force) опубликовала очередную версию спецификации HTTP/1.1 Message Digest Authentication. В документе описывается технология защиты Web-серверов с помощью алгоритма хеширования MD5, разработанного фирмой RSA Data Security. Его применение гарантирует надежную защиту паролей, которые сегодня сравнительно легко дешифруются не только специализированными хакерскими программами, но и стандартными анализаторами сети.

Как работает технология Message Digest Authentication. Пользователь направляет запрос на доступ к защищенной Web-странице. Сервер посылает на браузер пользователя запрос и случайное число (используемое только в данном случае). Пользователь вводит свой пароль. На основании пароля и полученного случайного числа браузер вычисляет результат, применяя алгоритм хеширования, и направляет его на сервер. Сервер, зная пароль пользователя и высланное его браузером случайное число, проводит аналогичный расчет, затем сравнивает свой результат с полученным от пользователя и в случае совпадения открывает доступ к странице.

Кроме того, технология Digest Authentication предоставляет менеджерам узлов более широкий выбор средств шифрования, позволяя им устанавливать закрытые сеансы связи по протоколу SSL (Secure Sockets Layer  -  nortelnetworks) только в тех случаях, когда данные в самом деле необходимо защитить. А ведь применение этого протокола создает значительную дополнительную нагрузку на процессор, замедляя тем самым работу сервера.

“В сегодняшней практике применяется только обмен открытыми запросами и ответами, которые легко перехватить и "расколоть",  -  отмечает Питер Меллквист, архитектор подразделения сетевых периферийных средств компании Hewlett-Packard (Роузвилл, шт. Калифорния).  -  Таким образом, в процессе аутентификации не составляет никакого труда узнать и имя пользователя, и его пароль. Спецификация же Digest Authentication предусматривает передачу через сеть некоторой функции от пароля, результат которой обеспечивает аутентификацию, но бесполезен для посторонних”.

Hewlett-Packard уже использует технологию Digest Authentication в ПО своих принтеров, предназначенных для работы через Интернет. В последующем компания намерена обеспечить и поддержку новой версии спецификации, для чего она встроит в свои продукты Web-сервер под названием EmWeb 5.1 фирмы Agranat Systems (Мейнард, шт. Массачусетс), представленный в начале июля.

Поддержала новую спецификацию и корпорация Microsoft. Преимущества технологии Digest Authentication станут доступны пользователям браузера Internet Explorer 5.0 и сервера Internet Information Server 5.0, который войдет в состав операционной системы Windows 2000.

Единственное, что мешает быстрому распространению стандарта Digest Authentication,  -  его недостаточно широкая поддержка браузерами и серверами.

Вот что говорит по этому поводу Стефан Уинц, директор коммерческих технологий фирмы TheStreet.com (Нью-Йорк): “Наш сервер Apache 1.3.6 уже способен применять Digest Authentication, но этого мало: эту спецификацию не поддерживают многие браузеры. Как только проблема будет разрешена, мы сразу же возьмем на вооружение новую технологию”.

Пока только присматривается к спецификации Digest Authenticaition и корпорация Netscape Communications (www. netscape.com). Ее представители не сообщают причину такой осторожности, но, по нашим данным, разработчики опасаются, что применение технологии создаст опасность постороннего проникновения в базы данных паролей на Web-серверах.

Как отметил Скотт Лоуренс, директор НИОКР фирмы Agranat, принимавший участие в создании спецификации Digest Authentication, впервые эта технология была предложена группой IETF более двух лет назад. Последняя версия отличается от своих предшественниц рядом усовершенствований, значительно упрощающих ее практическую реализацию.

Данная технология не шифрует трафик, а лишь скрывает пароли. Однако ее применение может повысить пропускную способность тех узлов, где используется протокол шифрования SSL. Дело в том, что зачастую шифрованные сеансы организуются только для того, чтобы закрыть пароль, хотя сами данные можно передавать и в открытом виде.

В качестве примера приведем нью-йоркскую фирму BMG Direct. Как отмечает ее вице-президент по стратегии развития и электронной коммерции Элизабет Роуз, пользователям для сохранности своих паролей сегодня приходится подключаться по протоколу SSL.

“Большая часть информации вовсе не нуждается в шифровании, но мы вынуждены предоставлять своим клиентам такую возможность”,  -  признается Роуз. Вот здесь-то и придет на помощь хеширование паролей, которое оптимизирует применение шифрования, снижая тем самым общую нагрузку на сервер.