<br><br><div><span class="gmail_quote">On 5/8/06, <b class="gmail_sendername">Manlio Perillo</b> &lt;<a href="mailto:manlio_perillo@libero.it">manlio_perillo@libero.it</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
jarrod roberson ha scritto:<br>&gt; [...]<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; I simply have seen an UDP protocol that uses sessions to identify each<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; request.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; The session is obtained after an authentication phase.<br>&gt;<br>
&gt;<br>&gt; if the sesssion id never changes I am SURE you have seen an insecure UDP<br>&gt; protocol<br><br>Of course, as the 90% of internet (as far as I have seen)..<br><br>&gt; which means unless the client and server are generating dynamic single
<br>&gt; use tokens and &quot;know&quot; what the next valid session id the client should<br>&gt; send, which implies encryption plus authenticaiton on every request.<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; Since I think that the procedure is similar to HTTP session handling, I
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; was asking if there is some reusable support for creating &quot;secure&quot;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp; session id and if cred has some support for this.<br>&gt;<br>&gt;<br>&gt;<br>&gt; you still don't understand STATE != Authentication.
<br>&gt;<br>&gt; ANYONE can sniff the packets, get whatever token or breadcrumb you are<br>&gt; using for the state id and spoof it.<br>&gt; that is unless you REQUIRE authentication on every request. &quot;secure&quot;<br>
&gt; session id's imply a form of authenticaiton on every request.<br>&gt;<br><br>Ok, but this implies (with simple authentication scheme like HTTP) to<br>double the number of requests/reponses.<br><br>And what if the authentication protocol is more complex?
<br><br></blockquote></div><br>you can send &quot;premetive&quot; authentication in the REQUEST headers<br>