Discussion :

[Raidwan]

Bonjour,

Je travaille actuellement sur une faille sur le protocole NTLM quand on utilise Firefox sans définir les hôtes sur lesquels on peut se connecter et que coté serveur on a une implémentation simplifié du genre :
http://svn.apache.org/repos/asf/nutc...t/jsp/ntlm.jsp

FF ouvre une popup pour saisir l'utilisateur et le mot de passe.
il y a deux soucis à ça :
- pas de vérification du mot de passe
- le paquet NTLM envoyé est complet (user, domaine et hôte)
Du coup coté serveur je ne sais pas faire la différence entre un vrai et un mauvais paquet...

Le truc c'est que quand on test sur un sharepoint par exemple, l'authentification est bien faite : la popup ne se ferme pas tant que l'authentification est incorrecte.

Donc ma question est comment ils font sur Sharepoint ???!!!

[thelvin]

Ben, ils vérifient le mot de passe envoyé, tiens -_-°.

[Raidwan]

Oui merci je m'en doutais bien, mais les questions que je me pose sont les suivantes :
- Comment cette authentification est effectuée ? (validation NT sur IIS)
si oui dans ce cas là ça veut dire que les credentials sont envoyées et vérifiées quelques part...
donc la question reste comment je fait pour faire la différence entre une authentification faite via NTLM avec ou sans popup sous FireFox...

[thelvin]

- Comment cette authentification est effectuée ?

Mais... Comme ça lui chante, bien sûr.
Il reçoit un nom de login, un nom de domaine et un mot de passe. Comment il vérifie cette authentification, ça le regarde. Tout dépend ce pour quoi il est configuré. Ça pourrait être un gars qui l'a configuré pour dire "si on te donne tel nom pour tel domaine avec tel mot de passe, c'est ok."

ça veut dire que les credentials sont envoyées et vérifiées quelques part...

Très certainement le serveur Kerberos qui s'occupe de l'authentification sur le réseau, oui. C'est l'usage en tout cas.

donc la question reste comment je fait pour faire la différence entre une authentification faite via NTLM avec ou sans popup sous FireFox...

J'étais pas au courant que Firefox pouvait faire une authentication NTLM sans popup. Mais en supposant qu'il le fasse, c'est probablement qu'il a été configuré ou modifié pour le faire, et il transmet sans doute les identifiants de la session Windows (ou Kerberos) en cours... Ou tout simplement les derniers identifiants transmis qui avaient été acceptés. Si le navigateur n'expose pas de différence avec ce qui se passe avec une popup, il n'a sans doute pas de raison de le faire.

[tchize_]

Je crois que simplement il affiche la popup si tu rate ton authentification automatique.

[Raidwan]

Bonjour,

Merci pour vos réponse mais .. ça m'aide toujours pas...

Pour info sous firefox si on ne précise pas les url sur lesquels on autorise le NTLM : le navigateur affiche une popup d'authentification.

Je suis d'accord sur la validation du login sur IIS, mais vu que c'est fait dans une transaction qui demande au client un paquet NTLM, et qu'il n'y a que des message de type NTLM qui transitent j'imagine qu'il y a une donnée dans un des messages (je soupsonne le type 2) qui contient les données pour la validation coté serveur ... avec le mot de passe, mais le mot de passe n'est pas une données que l'on est sensé retrouver dans un message NTLM...
vous trouverez ici le détails sur les échange NTLM entre client/serveur


----
EDIT:
Bon en fait je viens de trouver un truc, avec la popup Firefox envoie un message supplémentaire de type NTLMSSP_AUTH
à voir comment je peux exploiter ça (en java)