Una compañía que conozco está en conversaciones para reforzar su política de seguridad de contraseñas en todos sus productos de aplicaciones web.¿Cuál es la mejor manera de enviar datos de autenticación de formulario web a través de HTTP?
En este momento están enviando la autenticación de nombre de usuario/contraseña en formularios POST a través de HTTP, y por lo tanto, se están enviando texto sin formato.
La solución más simple al problema es simplemente requerir HTTPS para el inicio de sesión en todas nuestras aplicaciones, ¿verdad?
Bueno, hay una discusión interna sobre el hecho de hacer algún tipo de encriptación de contraseñas de nuestro cliente (contraseña + sal, etc.).
¿Hay una solución aceptada solo HTTP?
Las opiniones son como ... bueno, todos tienen una opinión, entonces estoy buscando literatura de seguridad creíble que pueda respaldar su recomendación. No solo busque en google y envíeme a una publicación de blog ... Ya lo hice y más.
he encontrado recomendaciones de OWASP: http://www.owasp.org/index.php/Top_10_2007-A7#Protection
Además de Microsoft de: http://msdn.microsoft.com/en-us/library/aa302420.aspx
EDIT: dando a su recomendación para el uso de SSL no es suficiente. Necesito algún tipo de documentación de respaldo. SÉ que rodar nuestro propio cifrado del lado del cliente es malo. Necesito poder vender de manera creíble eso a los compañeros de trabajo y la administración.
Además, se ha mencionado HTTP Digest. Parece agradable, pero Digest es ÚNICAMENTE para la autenticación HTTP, y no para los datos enviados a través de POST.
Acepto, un certificado de servidor es mucho más económico y fácil de mantener que cualquier otra solución y mantiene su aplicación mucho más fácil –
Gracias por la recomendación, pero lo que NO necesito es la recomendación de alguien. Realmente necesito una documentación de respaldo creíble. – danieltalsky
¿Qué es exactamente lo que quieres? ¿Documentación para descifrar su solución o para garantizar la seguridad SSL? –