パフォーマンス、セキュリティ、柔軟性の観点から、HTTPダイジェスト認証とSSLの違いは何ですか?
25022 次
3 に答える
37
HTTP ダイジェスト認証の長所と短所は、このトピックに関するウィキペディアの記事で非常に明確に説明されています。ぜひお読みください。
率直に言えば、HTTP Digest Auth は、平文のパスワードを攻撃者に知られないようにするだけです (MD5 セキュリティの状態を考慮すると、そうではないかもしれません)。
ただし、中間者攻撃や、高度な機能のほとんどがオプションであるため、実装によっては、リプレイ、ディクショナリ、その他の形式の攻撃に対しても無防備です。
ただし、HTTPS 接続と Digest Auth で保護された HTTP 接続の最大の違いは、前者ではすべてが公開鍵暗号で暗号化され、後者ではコンテンツが平文で送信されることです。
パフォーマンスに関しては、上記の点から、(CPU サイクルで) 対価が得られることは明らかです。
「柔軟性」については、次のようにします。
于 2009-03-01T06:28:04.870 に答える
4
HTTP ダイジェスト認証のサーバー実装の中には、平文パスワードをサーバーに保存することを強制するものがあります。より良い実装では、保存されたパスワードをソルトusername:realm:MD5(username:realm:password)する効果があり、攻撃者がパスワード ファイルを取得した場合にセキュリティが確保されます。
于 2009-03-02T11:09:52.687 に答える