Hallo liebe Leute,
ich möchte die Anmeldung über den Webbrowser übergehen. AVM arbeitet ja jetzt mit einer Session-ID, die nach der Anmeldung in der Datei login_sid.xml gespeichert wird. Zusätzlich steht hier der Challenge-Wert mit dem das Passwort in md5 gehasht wird. Als Beispiel :
- <SessionInfo>
<iswriteaccess>1</iswriteaccess>
<SID>12b1eecd3a9ec8aa</SID>
<Challenge>6ad19356</Challenge>
</SessionInfo>
Der Aufruf früher lautete:
http://fritz.box/cgi-bin/webcm?getp...ar:menu=home&var:pagename=home&login:command/password=<Beispiel>
jetzt müßte er so lauten:
http://fritz.box/cgi-bin/webcm?getp...ar:menu=home&var:pagename=home&login:command/response=<verschlüsseltes Passwort>
Den Algorithmus zur Verschlüsselung habe ich zusammengebastelt. Das Beispiel von AVM (berechnetes Passwort)(http://www.avm.de/de/Extern/Technical_Note_Session_ID.pdf) klappt also.
Und jetzt mein Verständnisproblem:
Wenn man sich den Inhalt der Datei login_sid.xml mit dem Aufruf http://fritz.box/cgi-bin/webcm?getpage=../html/login_sid.xml anzeigen läßt verändert der Challenge-Wert sich jedesmal bei erneutem Aufruf. Das heißt das berechnete verschlüsselte Passwort ändert sich auch jedesmal. Wenn das mit einem irgendwo hinterlegtem Passwort verglichen wird, dann kann das nicht passen.
Wie soll das funktionieren?
ich möchte die Anmeldung über den Webbrowser übergehen. AVM arbeitet ja jetzt mit einer Session-ID, die nach der Anmeldung in der Datei login_sid.xml gespeichert wird. Zusätzlich steht hier der Challenge-Wert mit dem das Passwort in md5 gehasht wird. Als Beispiel :
- <SessionInfo>
<iswriteaccess>1</iswriteaccess>
<SID>12b1eecd3a9ec8aa</SID>
<Challenge>6ad19356</Challenge>
</SessionInfo>
Der Aufruf früher lautete:
http://fritz.box/cgi-bin/webcm?getp...ar:menu=home&var:pagename=home&login:command/password=<Beispiel>
jetzt müßte er so lauten:
http://fritz.box/cgi-bin/webcm?getp...ar:menu=home&var:pagename=home&login:command/response=<verschlüsseltes Passwort>
Den Algorithmus zur Verschlüsselung habe ich zusammengebastelt. Das Beispiel von AVM (berechnetes Passwort)(http://www.avm.de/de/Extern/Technical_Note_Session_ID.pdf) klappt also.
Und jetzt mein Verständnisproblem:
Wenn man sich den Inhalt der Datei login_sid.xml mit dem Aufruf http://fritz.box/cgi-bin/webcm?getpage=../html/login_sid.xml anzeigen läßt verändert der Challenge-Wert sich jedesmal bei erneutem Aufruf. Das heißt das berechnete verschlüsselte Passwort ändert sich auch jedesmal. Wenn das mit einem irgendwo hinterlegtem Passwort verglichen wird, dann kann das nicht passen.
Wie soll das funktionieren?
