Autenticação Digest HTTP contra SSL
-
11-09-2019 - |
Pergunta
O que é a diferença entre HTTP Digest autenticação e SSL a partir de um ponto de vista do desempenho, segurança e flexibilidade?
Solução
Os prós e contras de Autenticação Digest HTTP são explicados claramente na href="http://en.wikipedia.org/wiki/Digest_access_authentication" rel="noreferrer"> artigo - você deve ler que
Para ser franco: HTTP Digest Auth só irá protegê-lo de perder a sua senha em texto para um atacante (e considerando o estado de segurança MD5, talvez nem isso).
No entanto, é aberta para Man-in-the-middle ataques e também - dependendo da implementação, já que a maioria dos recursos avançados são opcionais -. Replay, formas de dicionário e outros de ataques
No entanto, a maior diferença entre uma conexão HTTPS e uma conexão HTTP protegido por Digest Auth é que, com o ex- tudo é criptografada com criptografia de chave pública, enquanto que com o último conteúdo é enviado em claro .
Quanto ao desempenho:. A partir os pontos acima mencionados, deve ser bastante claro que você obtém o que você paga (com ciclos de CPU)
Para "flexibilidade" Eu vou com:? Huh
Outras dicas
A autenticação Digest única criptografa as credenciais de autenticação (isto é, o nome de usuário e senha que você digitar na caixa de diálogo de autenticação do seu navegador) ... SSL criptografa tudo na página. Então SSL será menos eficiente, e é também tipicamente mais envolvidos para configurar. Mas SSL tem a vantagem que ele permite que ambas as partes verificar as identidades dos outros, se tiverem certificados confiáveis. HTTP digerir autenticação não faz isso, então quando usando HTTP digerir sem SSL, você realmente não sei se o servidor que você está enviando suas informações de login para é o caminho certo ou um impostor.
Algumas implementações do servidor de força Digest Autenticação HTTP que você salve o passwort texto puro no servidor melhores implementações Salvar username:realm:MD5(username:realm:password)
isso tem o efeito de salga a senha armazenada que dá alguma segurança se os agressores tenham obtido o arquivo de senha.