HTTP 다이제스트 인증 대 SSL

Question

HTTP 다이제스트 인증과 성능, 보안 및 유연성 관점에서 SSL의 차이점은 무엇입니까?

Answer 1

HTTP 다이제스트 인증의 장단점은 주제에 관한 Wikipedia 기사 - 당신은 그것을 읽어야합니다!

무뚝뚝하게 말하면 : HTTP Digest Auth는 공격자에게 클리어 텍스트 비밀번호를 잃지 않도록 보호합니다 (MD5 보안 상태를 고려할 수도 있습니다).

그러나 대부분의 고급 기능은 선택 사항 (재생, 사전 및 기타 형태의 공격이기 때문에 중간의 공격과 구현에 따라 개방되어 있습니다.

그러나 Digest Auth로 보호되는 HTTPS 연결과 HTTP 연결의 가장 큰 차이점은 전자와의 경우입니다. 모든 것 공개 키 암호화와 암호화되며 후자의 내용은 명확하게 전송됩니다.

성능의 경우 : 위에서 언급 한 지점에서 CPU 주기로 지불하는 금액을 얻는 것이 분명해야합니다.

"Flexibility"를 위해서는 다음과 같이 갈 것입니다 : Huh?

Answer 2

Digest 인증은 인증 자격 증명 만 암호화합니다 (즉, 브라우저의 인증 대화 상자에 입력 한 사용자 이름 및 비밀번호) ... SSL Encrypts 모든 것 페이지에서. 따라서 SSL은 덜 효율적이며 일반적으로 설정에 더 관여합니다. 그러나 SSL은 신뢰할 수있는 인증서를 가지고 있다면 양 당사자가 서로의 신원을 확인할 수 있다는 이점이 있습니다. HTTP 다이제스트 인증은 그렇게하지 않으므로 SSL이없는 HTTP Digest를 사용할 때 로그인 정보를 보내는 서버가 올바른 사람인지 사기꾼인지 실제로 알 수 없습니다.

Answer 3

HTTP 다이제스트 인증의 일부 서버 구현 서버에서 ClearText PassWort를 저장할 수 있습니다. username:realm:MD5(username:realm:password) 이것은 효과가 있습니다 소금 공격자가 암호 파일을 얻은 경우 보안을 제공하는 저장된 비밀번호.