これはおそらくばかげた質問ですが、基本的な HTTP 認証だけで安全に回避できますか、それともサーバーが既に SSL を使用している場合でもダイジェスト認証の恩恵を受けられますか?
質問する
3130 次
2 に答える
15
SSL/TLS 経由で HTTP ダイジェスト認証を使用することによって得られる唯一の利点は、サーバーが「HA1 形式」のパスワードで直接構成できる場合 (つまり、そうでない場合)、サーバー自体へのユーザー パスワードの開示を防ぐことです。'パスワード自体を知る必要はありませんが、ユーザーパスワードをMD5(username:realm:password)で構成できる場合、パスワードを明確にする必要はありません。たとえば、 Apache Httpdを参照してください)。
実際には、これは実際には大きな利点ではありません。サーバーからパスワード自体を保護する必要がある場合は、より良い代替手段があります (特に、最近では MD5 が十分とは見なされていないため)。
HTTP ダイジェスト認証 (フォーム/HTTP Basic 経由) のその他の機能は、SSL/TLS レイヤーによって既に提供されています。
于 2012-08-12T16:11:50.850 に答える
6
SSL 基本認証全体で、ほとんどのニーズに対して十分に安全です。
于 2012-08-12T16:05:50.290 に答える