1. дома
  2. Вопрос и ответ
  3. Избегайте метода проверки подлинности NTLM

Избегайте метода проверки подлинности NTLM

2015-02-10 6 views
0

У меня есть веб-приложение, которое разрабатывается с использованием vb.net. Мое веб-приложение использует режим проверки подлинности Windows.Избегайте метода проверки подлинности NTLM

Группа безопасности проверила приложение и сообщила об одной проблеме.

Выполняемые производить вопрос:

1. Type the url in browser (url - https://sample/applicationname) and press Enter 

2. Analyze the response using proxy tool 'Fiddler' - which shows that authentication method in NTLM which is insecure.

Рекомендации, данные команды безопасности:

Change authentication method to a more secure one such as Digest, client certificates or similar. Otherwise use an encrypted channel to protect information by implementing HTTPS.

Примечание: HTTPS уже реализована.

Пожалуйста, дайте мне знать, как решить проблему. Спасибо заранее.

источник

2015-02-10 Sarath

+0

Что случилось с NTLM? И если вы уже используете HTTPS, вы уже отвечаете указанным требованиям. Во всяком случае, изменение протоколов проверки подлинности зависит от администратора сервера, а не от программиста, поэтому я думаю, что вам лучше повезет с ошибкой сервера. –

ответ

1

Дайджест менее безопасен, чем NTLM, поэтому вы можете высмеять команду безопасности. Digest использует MD5 (слабо) и требует обратимых паролей. Если вы действительно хотите сделать более безопасным, чем NTLM, вы можете настроить кеберосы. Варианты варьируются в зависимости от вашей версии IIS. У Google будет ваш ответ.

источник

2015-02-11 00:43:34 markgamache

+0

Дайджест менее безопасен, чем NTLM. Лучше ли идти с аутентификацией сертификата клиента. Пожалуйста, дайте ссылку ref, чтобы проверить, как настроить IIS и файл Web.config для проверки подлинности сертификата клиента. – Sarath

Смежные вопросы

 Смежные вопросы