HTTP-Digest-Authentifizierung gegenüber SSL
https://stackoverflow.com/questions/599048
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Was ist der Unterschied zwischen HTTP-Digest-Authentifizierung und SSL von einer Leistung, Sicherheit und Flexibilität Sicht?
Lösung
Die Vor-und Nachteile von HTTP-Digest-Authentifizierung ganz klar in der Wikipedia-Artikel zum Thema erklären - Sie sollten das lesen
!Um es klar zu sagen: HTTP Digest Auth werden Sie nur verlieren Ihr Passwort unverschlüsselt an einen Angreifer schützen (und den Zustand der MD5 Sicherheit bedenkt, vielleicht nicht einmal das).
Es ist jedoch weit offen für Man-in-the-Middle-Angriffe und auch - abhängig von der Implementierung, da die meisten der erweiterten Funktionen sind optional -. Replay, Wörterbuch und andere Formen von Angriffen
Allerdings ist der größte Unterschied zwischen einer HTTPS-Verbindung und einer HTTP-Verbindung durch Digest Auth geschützt ist, dass mit dem ehemaligen alles ist mit Public-Key-Verschlüsselung verschlüsselt, während sie mit diesem Inhalt im Klartext gesendet wird .
Wie für die Leistung. Von den oben genannten Punkten sollte es ganz klar sein, dass Sie bekommen, was Sie (mit CPU-Zyklen) zahlen
"Flexibilität" Ich werde mit gehen: huh
Andere Tipps
Digest-Authentifizierung verschlüsselt nur die Anmeldedaten (das heißt, der Benutzername und das Passwort, das Sie Ihren Browser Authentifizierungsdialog geben Sie in) ... SSL verschlüsselt alles in der Seite. So wird SSL weniger effizient sein, und es ist auch in der Regel mehr beteiligt einzurichten. Aber SSL hat den Vorteil, dass es beide Parteien jeweils anderen Identitäten überprüfen können, ob sie vertrauenswürdige Zertifikate haben. HTTP Digest-Authentifizierung tut nicht, dass, so, wenn sie ohne Verwendung von SSL HTTP Digest, Sie wissen nicht wirklich, wenn der Server Sie Ihre Login-Informationen zu sind zu senden ist die richtige oder ein Betrüger.
Einige Server-Implementierungen von HTTP-Digest-Authentifizierung Kraft Ihnen das unverschlüsselt Passwort auf dem Server besser Implementierungen speichern speichern username:realm:MD5(username:realm:password) dies hat die Wirkung von Salzen das gespeicherte Passwort, die eine gewisse Sicherheit gibt, wenn Angreifer die Passwort-Datei erhalten haben.
