HTTP 摘要式身份验证与 SSL

Question

从性能、安全性和灵活性的角度来看，HTTP 摘要式身份验证和 SSL 有什么区别？

Answer 1

HTTP 摘要式身份验证的优点和缺点在 维基百科关于该主题的文章 ——你应该读一下！

说穿：HTTP Digest Auth 只能保护您免遭攻击者丢失您的明文密码（考虑到 MD5 安全性的状态，甚至可能无法做到这一点）。

然而，它对中间人攻击以及重播、字典和其他形式的攻击（取决于实现，因为大多数高级功能都是可选的）敞开大门。

然而，HTTPS 连接和受 Digest Auth 保护的 HTTP 连接之间的最大区别在于前者 一切 使用公钥加密进行加密，而后者的内容则以明文形式发送。

至于表现：从上述几点可以很清楚地看出，一分钱一分货（CPU 周期）。

为了“灵活性”，我会选择：嗯？

Answer 2

摘要式身份验证只在页面加密的认证证书（也就是你输入到浏览器的认证对话框的用户名和密码）... SSL加密的所有的。因此，SSL的效率会降低，而且它通常也更多地参与成立。但是，SSL确实有优势，它可以让双方确认对方的身份，如果他们信任的证书。 HTTP摘要身份验证，因此，使用HTTP摘要没有SSL时，不会做，你真的不知道，如果服务器你发送你的登陆信息是正确的或冒名顶替者。

Answer 3

HTTP Digest Authentication 的某些服务器实现会强制您在服务器上保存明文密码，更好的实现会保存 username:realm:MD5(username:realm:password) 这有以下效果 盐 如果攻击者获得了密码文件，存储的密码可以提供一定的安全性。