HTTP Digest authentification SSL par rapport à
https://stackoverflow.com/questions/599048
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelle est la différence entre HTTP Digest authentification et SSL à partir d'une performance, la sécurité et le point de vue flexibilité?
La solution
Les avantages et les inconvénients de l'authentification HTTP Digest sont expliqués très clairement dans le article de Wikipedia sur le sujet - vous devriez lire que
Pour parler crûment: HTTP Digest Auth ne vous protéger de perdre votre mot de passe en texte clair à un attaquant (et compte tenu de l'état de la sécurité MD5, peut-être même pas).
Il est cependant largement ouvert aux attaques Man-in-the-Middle et aussi - en fonction de la mise en œuvre, puisque la plupart des fonctionnalités avancées sont en option -. Rejeu, dictionnaire et d'autres formes d'attaques
Cependant, la plus grande différence entre une connexion HTTPS et une connexion HTTP protégée par Digest Auth est que, avec l'ancien tout est crypté avec la clé de chiffrement publique, alors que ce dernier contenu est envoyé en clair .
En ce qui concerne la performance. De points susmentionnés, il devrait être tout à fait clair que vous obtenez ce que vous payez (avec des cycles CPU)
Pour « flexibilité » Je vais aller avec: hein
Autres conseils
L'authentification Digest crypte uniquement les informations d'authentification (qui est le nom d'utilisateur et mot de passe que vous tapez dans la boîte de dialogue d'authentification de votre navigateur) ... Le protocole SSL tout dans la page. Donc SSL sera moins efficace, et il est aussi généralement davantage à mettre en place. Mais SSL a l'avantage qu'il permet de vérifier les deux parties l'identité des uns et des autres, si elles ont des certificats de confiance. HTTP l'authentification digest ne le fait pas, alors lorsque vous utilisez HTTP sans SSL digérer, vous ne savez pas vraiment si le serveur que vous envoyez vos informations de connexion à est la bonne ou un imposteur.
Certaines implémentations de serveur de force d'authentification HTTP Digest vous d'enregistrer le passwort de texte clair sur le serveur de meilleures implémentations sauver username:realm:MD5(username:realm:password) cela a pour effet de salage le mot de passe stocké qui donne une certaine sécurité si les attaquants ont obtenu le fichier de mot de passe.
