HTTP Digest autenticación frente SSL
https://stackoverflow.com/questions/599048
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es la diferencia entre HTTP Digest autenticación y SSL desde el punto de vista del rendimiento, seguridad y flexibilidad?
Solución
Los pros y los contras de HTTP Digest autenticación se explican con toda claridad en el artículo de Wikipedia sobre el tema - que usted debe leer
!Para decirlo sin rodeos: HTTP Digest autenticación sólo le protegerá de perder su contraseña sin cifrar a un atacante (y teniendo en cuenta el estado de la seguridad MD5, tal vez ni siquiera eso).
Sin embargo, es muy abierto a man-in-the-middle y también - dependiendo de la aplicación, ya que la mayoría de las características avanzadas son opcionales -. Replay, diccionario y otras formas de ataques
Sin embargo, la mayor diferencia entre una conexión HTTPS y una conexión HTTP protegido por Digesto de autenticación es que con el anterior todo se cifra con la clave pública de cifrado, mientras que con el último contenido se envía a la clara .
En cuanto a la prestación del servicio:. A partir de los puntos antes mencionados debe ser muy claro que se obtiene lo que se paga (con ciclos de CPU)
En la "flexibilidad" Iré con:? Eh
Otros consejos
La autenticación implícita sólo cifra las credenciales de autenticación (es decir, el nombre de usuario y contraseña que se teclea en diálogo de autenticación del navegador) ... encripta SSL todo en la página. Así SSL será menos eficiente, y también es típicamente más complicado de configurar. Pero SSL tiene la ventaja de que permite que ambas partes verificar las identidades de los demás, si han de confianza certificados. HTTP Digest autenticación de no hacer eso, por lo que cuando se utiliza HTTP Digest sin SSL, no se sabe muy bien si el servidor que está enviando su información de acceso a es la correcta o un impostor.
Algunas implementaciones del servidor de fuerza HTTP Digest autenticación que guarde el passwort sin cifrar en el servidor mejores implementaciones guardar username:realm:MD5(username:realm:password) esto tiene el efecto de salazón la contraseña almacenada que le da cierta seguridad si los atacantes han obtenido el archivo de contraseñas.
