المصادقة HTTP DIGEST مقابل SSL
https://stackoverflow.com/questions/599048
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هو الفرق بين مصادقة HTTP Digest و SSL من الأداء والأمان وجهة نظر المرونة؟
المحلول
تم شرح إيجابيات وسلبيات مصادقة HTTP Digest بوضوح تماما في مقالة ويكيبيديا حول الموضوع - يجب أن تقرأ ذلك!
لوضعها بصراحة: سوف يحميك مصادقة HTTP Digest فقط من فقدان كلمة مرور ClearText إلى مهاجم (والنظر في حالة أمن MD5، ربما لا حتى ذلك).
ومع ذلك، فمن المفتوح على مصراعيها لهجمات الإنسان في الوسط وكذلك - اعتمادا على التنفيذ، لأن معظم الميزات المتقدمة هي اختيارية - إعادة التقيد، القاموس وغيرها من أشكال الهجمات.
ومع ذلك، فإن الفرق الأكبر بين اتصال HTTPS واتصال HTTP محمي بواسطة Digest Auth هو أنه مع السابق كل شيء يتم تشفير تشفير المفتاح العام، بينما يتم إرسال المحتوى الأخير في الوضوح.
بالنسبة للأداء: من النقاط المذكورة أعلاه، يجب أن يكون من الواضح تماما أن تحصل على ما تدفعه مقابل دورات وحدة المعالجة المركزية).
ل "المرونة" سأذهب مع: هاه؟
نصائح أخرى
مصادقة Digest تشفير بيانات اعتماد المصادقة فقط (أي اسم المستخدم وكلمة المرور التي تكتبها في مربع حوار مصادقة المتصفح الخاص بك) ... SSL Encrypts كل شيء في الصفحة. لذلك سوف يكون SSL أقل كفاءة، كما أنه يشارك عادة في الإعداد. لكن لدى SSL ميزة أنه يتيح لك كلا الطرفين التحقق من هويات بعضها البعض، إذا كان لديهم شهادات موثوق بها. لا تفعل مصادقة HTTP Digest ذلك، لذلك عند استخدام HTTP DIGEST بدون SSL، لا تعرف حقا ما إذا كان الخادم الذي تقوم بإرسال معلومات تسجيل الدخول إليه هو واحد صحيح أو مدهر.
يجبرك بعض تطبيقات الخادم الخاصة بمصادقة HTTP Digest على حفظ Passwort ClearText على تطبيقات خادم أفضل حفظ username:realm:MD5(username:realm:password) هذا له تأثير إيطاليا كلمة المرور المخزنة التي تعطي بعض الأمان إذا حصل المهاجمون على ملف كلمة المرور.
