В чем разница между HTTP Digest Authentication и SSL с точки зрения производительности, безопасности и гибкости?HTTP-дайджест Аутентификация по сравнению с SSL
ответ
Достоинства и недостатки аутентификации HTTP Digest объясняются достаточно четко в Wikipedia article on the topic - вы должны прочитать это!
Скажем прямо: HTTP Digest Auth защитит вас от потери пароля cleartext злоумышленнику (и с учетом состояния безопасности MD5, может быть, даже не этого).
Он, однако, широко открыт для атак Man-in-the-middle, а также - в зависимости от реализации, поскольку большинство дополнительных функций являются необязательными - повтор, словарь и другие формы атак.
Однако, самая большая разница между подключением к HTTPS и HTTP-соединения, защищенного Digest Auth является то, что с бывшим все шифруется с помощью открытого ключа шифрования, а с ним содержание передается в незашифрованном виде.
Что касается производительности: из вышеупомянутых пунктов должно быть совершенно ясно, что вы получаете то, за что платите (с циклами ЦП).
Для «гибкости» я пойду с: да?
Аутентификация для дайджеста только шифрует учетные данные для аутентификации (то есть имя пользователя и пароль, которые вы вводите в диалоговом окне аутентификации вашего браузера) ... SSL шифрует все на странице. Таким образом, SSL будет менее эффективным, и его также, как правило, более активно настраивают. Но у SSL есть то преимущество, что он позволяет обеим сторонам проверять идентификаторы друг друга, если у них есть доверенные сертификаты. HTTP-аутентификация дайджеста не делает этого, поэтому при использовании HTTP-дайджест без SSL вы действительно не знаете, является ли сервер, по которому вы отправляете свою регистрационную информацию, является правильным или самозваным.
Насколько я понимаю, аутентификация дайджеста не содержит шифрования вообще, кроме так называемого HMAC. – max
, который вычисляется с использованием криптографических функций ... – hop
@mdorseif: Я думаю, я не был очень точным. Я имел в виду «шифрование» в смысле перевода некоторых данных в неинтерпретируемое, обратимо или нет. Тот же смысл, что и функция crypt(), используемая для хэш-паролей в Linux. –
Некоторые реализаций серверных HTTP Digest Authentication силы вас, чтобы сохранить читаемую Passwort на сервере лучше реализация экономии username:realm:MD5(username:realm:password)
это имеет эффект salting сохраненный пароль, который дает некоторую безопасность, если злоумышленники получили файл паролей.
- 1. Аутентификация сервера по сравнению с приложением AppEngine
- 2. Взаимный SSL-аутентификация по SFTP?
- 3. Аутентификация SSL
- 4. Разработка Intuit Anywhere по сравнению с производством Аутентификация/авторизация
- 5. Аутентификация с помощью STARTTLS и SSL/TLS
- 6. Erlang, принимающий SSL-соединение, очень медленный (по сравнению с C++)
- 7. Sanity Проверка: SSL + POST по сравнению с не-зашифрованы GET
- 8. SSL HandShake - аутентификация клиента
- 9. аутентификация webservice через SSL
- 10. Python/SSL аутентификация
- 11. ActiveMQ взаимная аутентификация SSL
- 12. Безопасная аутентификация без SSL?
- 13. HTTP-аутентификация через SSL?
- 14. Безопасная аутентификация без SSL
- 15. Аутентификация: Kerberos или SSL?
- 16. Аутентификация SSL-сертификата
- 17. SSL: метод аутентификация SSL требует пароля
- 18. Аутентификация клиента Tomcat с использованием SSL
- 19. Двухсторонняя аутентификация SSL в Netty
- 20. Базовая аутентификация Apache Только SSL
- 21. Взаимная аутентификация SSL с помощью gSOAP
- 22. по сравнению с строкой
- 23. по сравнению с датами?
- 24. По сравнению с CompareTo
- 25. по сравнению с undefined
- 26. Xamarin.Auth iOS9 Аутентификация SSL ERROR
- 27. Аутентификация ActiveMQ и SSL-сервера
- 28. Джерси клиент SSL взаимная аутентификация
- 29. Grpc Java SSL взаимная аутентификация
- 30. Двухсторонняя аутентификация с использованием ssl в dotnet
Ваш вопрос должен звучать так, как будто мы сдаём экзамен? – hop
Извините, я перефразирую его :) – Gili
Теперь я хочу знать, как выглядел оригинал! – ciscoheat