HTTP-дайджест-аутентификация по сравнению с SSL
-
11-09-2019 - |
Вопрос
В чем разница между дайджест-аутентификацией HTTP и SSL с точки зрения производительности, безопасности и гибкости?
Решение
Плюсы и минусы дайджест-аутентификации HTTP довольно четко объяснены в Статья в Википедии на эту тему -- Вам следует это прочитать!
Грубо говоря:HTTP Digest Auth защитит вас только от потери вашего пароля в виде открытого текста злоумышленнику (а, учитывая состояние безопасности MD5, возможно, даже не это).
Однако он широко открыт для атак «Человек посередине», а также — в зависимости от реализации, поскольку большинство расширенных функций являются необязательными — повторного воспроизведения, словаря и других форм атак.
Однако самая большая разница между соединением HTTPS и соединением HTTP, защищенным дайджест-аутентификацией, заключается в том, что первое все шифруется с помощью шифрования с открытым ключом, в то время как последнее содержимое отправляется в открытом виде.
Что касается производительности:Из вышеупомянутых пунктов должно быть совершенно ясно, что вы получаете то, за что платите (с учетом циклов ЦП).
Для «гибкости» я выберу:хм?
Другие советы
Дайджест-аутентификация шифрует только учетные данные аутентификации (то есть имя пользователя и пароль, которые вы вводите в диалоговом окне аутентификации вашего браузера)...SSL-шифрование все на странице.Таким образом, SSL будет менее эффективным, и его, как правило, сложнее настроить.Но у SSL есть то преимущество, что он позволяет обеим сторонам проверять личность друг друга, если у них есть доверенные сертификаты.HTTP-дайджест-аутентификация этого не делает, поэтому при использовании HTTP-дайджеста без SSL вы на самом деле не знаете, является ли сервер, на который вы отправляете свои данные для входа, правильным или самозванцем.
Некоторые серверные реализации дайджест-аутентификации HTTP заставляют вас сохранять пароль в открытом виде на сервере. username:realm:MD5(username:realm:password)
это имеет эффект соление сохраненный пароль, который обеспечивает некоторую безопасность, если злоумышленники получили файл паролей.