1. дома
  2. Вопрос и ответ
  3. Можно ли зашифровать аутентификацию через HTTP через IIS (без SSL)?

Можно ли зашифровать аутентификацию через HTTP через IIS (без SSL)?

2010-06-18 4 views
5

Я привык к * nix-серверам, и если бы мы хотели получить полностью защищенный знак на экране, мы (насколько мне известно) должны использовать SSL через HTTPS. Наша надзорная организация на работе использует Windows Servers для обслуживания веб-страниц. На одной из таких страниц они аутентифицируют сетевые учетные данные. Эта страница использует HTTP, и то, что появляется, является базовым Auth (всплывающим диалоговым окном) для диспетчера отчетов SQL Server.Можно ли зашифровать аутентификацию через HTTP через IIS (без SSL)?

Говорят, что Basic отключен в IIS.

В моем ограниченном опыте с IIS в колледже я (думаю, что я) вспоминаю, что поддомены могут переопределять общие настройки. Они считают, что используют встроенную проверку подлинности Windows.

Итак ...

  1. Есть ли способ провести различие между Basic Auth и Integrated Windows Auth при просмотре веб-страниц строки и ...

  2. Можно ли шифровать связь между компьютером и сервером во время аутентификации, чтобы передаваемый текст был зашифрован (без решения JS)?

источник

2010-06-18 BrendonKoz

ответ

2

Как базовая, так и Windows Integrated аутентификация отправляют учетные данные, незашифрованные по проводу. Если в поле ввода всплывающего окна есть имя браузера, и оно выглядит как стандартное окно, оно является базовым или интегрированным. Если имя пользователя/пароль, используемые для получения доступа, такие же, как учетная запись домена пользователя, это Windows Integrated. Вы можете подтвердить, понюхав передачу HTTP с помощью Fiddler.

Существует нет хорошего практического способа шифрования этих учетных данных в любом случае без SSL. Here - хорошая статья о том, почему пользовательские методы защиты - плохая идея, а SSL - это путь.

источник

2010-06-18 19:30:17

+0

Спасибо, Дейв! – BrendonKoz

+0

Хотел бы отметить, что ** Интегрированная проверка подлинности ** не передает учетные данные в сети. Из MSDN - _В отличие от аутентификации Basic и Digest, зашифрованный пароль не отправляется по сети, что делает этот метод очень безопасным. – thinkster

2

Вы также можете использовать HTTP Digest authentication, который будет шифровать аутентификацию в HTTP-заголовке (даже без SSL). Появится диалоговое окно, аналогичное тому, которое вы получите с помощью HTTP-аутентификации. Есть несколько минусов:

  • Большинства браузеров используют один и то же диалоговое окно Basic и Digest аутентификации, так как пользователь, вы на самом деле не знают, какое это использования.
  • только зашифрована аутентификация, человеко-In-The-Middle, которые могли бы перехватывать и изменяющий обмен может заменить содержание запросов, использующих эти учетные данные.

По этим причинам SSL лучше (как было предложено ранее).

источник

2010-06-21 23:21:21 Bruno

+0

Спасибо, Бруно! Поскольку я искал абсолютно безопасное решение, это не сработало, но я определенно ценю дополнительную информацию и передам ее. Еще раз спасибо! – BrendonKoz

Смежные вопросы

 Смежные вопросы