Аутентификация HTTP Digest по сравнению с SSL

Ответ 1

Достоинства и недостатки аутентификации HTTP Digest достаточно четко объясняются в статье Википедии по теме - вы должны прочитать это!

Скажем прямо: HTTP Digest Auth защитит вас от потери пароля cleartext для злоумышленника (и с учетом состояния безопасности MD5, может быть, даже не этого).

Он широко открыт для атак Man-in-the-middle, а также - в зависимости от реализации, поскольку большинство дополнительных функций являются необязательными - повтор, словарь и другие формы атак.

Однако самая большая разница между соединением HTTPS и HTTP-соединением, защищенным Digest Auth, заключается в том, что с прежним все шифруется с помощью шифрования с открытым ключом, в то время как последнее содержимое отправляется в явном виде.

Что касается производительности: из вышеупомянутых пунктов должно быть совершенно ясно, что вы получаете то, за что платите (с циклами процессора).

Для "гибкости" я поеду: huh?

Ответ 2

Аутентификация дайджеста только шифрует учетные данные аутентификации (то есть имя пользователя и пароль, которые вы вводите в диалоговом окне проверки подлинности браузера)... SSL шифрует все на странице. Таким образом, SSL будет менее эффективным, и он также, как правило, больше задействован для настройки. Но у SSL есть то преимущество, что он позволяет обеим сторонам проверять идентификаторы друг друга, если у них есть доверенные сертификаты. HTTP-аутентификация дайджеста не делает этого, поэтому, когда вы используете HTTP-дайджест без SSL, вы действительно не знаете, является ли сервер, по которому вы отправляете свою регистрационную информацию, правильной или самозванцем.

Ответ 3

Некоторые серверные реализации HTTP-дайджест-аутентификации заставляют вас сохранять открытый текст на сервере. Более эффективные реализации сохраняют username:realm:MD5(username:realm:password). Это приводит к солению сохраненный пароль, который дает некоторую безопасность, если злоумышленники получили файл паролей.