为什么以明文形式发送票证的生命周期
Why is the lifetime of a ticket sent in plaintext
我正在阅读this description about how Kerberos works.
我对这部分有点疑惑:
为什么我们要以明文形式发送 HTTP 服务的 Ticket 生命周期?
这意味着任何有权访问网络的人都可以了解我们正在使用哪些服务以及使用了多少时间。这听起来不像是很好的隐私。
您阅读的描述有误。从客户端到 KDC TGT 服务的初始 Kerberos 数据包请求中没有明文生命周期 - 只是请求服务票证。返回的包含生命周期的服务票据是加密的。人们不会通过网络看到纯文本的详细信息。这些详细信息在 RFC 1510 和 4120 中进行了解释。注意:如果您在其中一个端点上 运行 klist - 客户端、KDC 或服务器,您将看到明文形式的 Kerberos 票证生命周期 -但这是不同的 - 您已经在主机上并使用特定工具来执行此操作。
我正在阅读this description about how Kerberos works.
我对这部分有点疑惑:
为什么我们要以明文形式发送 HTTP 服务的 Ticket 生命周期?
这意味着任何有权访问网络的人都可以了解我们正在使用哪些服务以及使用了多少时间。这听起来不像是很好的隐私。
您阅读的描述有误。从客户端到 KDC TGT 服务的初始 Kerberos 数据包请求中没有明文生命周期 - 只是请求服务票证。返回的包含生命周期的服务票据是加密的。人们不会通过网络看到纯文本的详细信息。这些详细信息在 RFC 1510 和 4120 中进行了解释。注意:如果您在其中一个端点上 运行 klist - 客户端、KDC 或服务器,您将看到明文形式的 Kerberos 票证生命周期 -但这是不同的 - 您已经在主机上并使用特定工具来执行此操作。