Esta es probablemente una pregunta tonta, pero ¿puedo hacerlo de forma segura con solo HTTP auth o todavía me beneficio de la autenticación de resumen incluso si el servidor ya está en SSL?¿Aún necesita usar la autenticación resumida si tiene SSL?
Respuesta
La única ventaja que obtendría al utilizar autenticación HTTP Digest sobre SSL/TLS es evitar la revelación de la contraseña del usuario al servidor, si su servidor se puede configurar con contraseñas directamente en el "HA1 format" (es decir, si no necesita conocer la contraseña en sí, pero donde la contraseña del usuario se puede configurar con MD5 (nombre de usuario: dominio: contraseña), sin requerir la contraseña en claro, consulte Apache Httpd por ejemplo).
En la práctica, esto no es realmente una gran ventaja. Hay mejores alternativas si se requiere proteger la contraseña del servidor (en particular porque MD5 no se considera lo suficientemente bueno de todos modos hoy en día).
Las otras funciones de la autenticación HTTP Digest (sobre el formulario/HTTP básico) ya las proporciona la capa SSL/TLS.
A través de ssl basic auth es lo suficientemente seguro para la mayoría de las necesidades.
- 1. ¿Qué es la autenticación resumida?
- 2. ¿Cómo puedo hacer la autenticación resumida con HttpWebRequest?
- 3. ¿Cómo comprobar si curl tiene soporte para ssl?
- 4. ¿Se necesita SSL para WCF al usar Transport Security?
- 5. Autenticación WCF SIN SSL
- 6. heroku + git submódulo necesita autenticación
- 7. ¿La autenticación básica con SSL es lo suficientemente segura?
- 8. Autenticación del cliente Tomcat usando SSL
- 9. Cómo usar desactivar SSL
- 10. Mutual SSL: ¿cuánta autenticación es suficiente?
- 11. ¿Tiene dnode middleware de autenticación?
- 12. ¿Cómo apoyo la autenticación del certificado de cliente SSL?
- 13. Autenticación bidireccional con ssl en dotnet
- 14. con direccionamiento RIP, ¿por qué x86-64 aún necesita reubicaciones?
- 15. Cómo usar SSL en la clase TcpClient
- 16. Use SSL con Delphi y aún tenga un solo exe
- 17. autenticación SSL al comparar la huella dactilar del certificado?
- 18. ¿Necesita usar path.join en Node.js?
- 19. ¿Está bien aún usar tablas?
- 20. ¿Por qué Silverlight 4 Assemblys aún tiene la versión 2.0.5.0?
- 21. ¿Puedo usar la autenticación md5 con psycopg2?
- 22. Autenticación de certificado WCF mutuo/SSL en entorno de clúster
- 23. ¿Qué conjunto de cifrado SSL tiene la menor sobrecarga?
- 24. ASP, necesita usar SFTP
- 25. Cómo y qué certificado de servidor usar con autenticación de certificado de cliente SSL de Android
- 26. ¿Usar la sesión para almacenar la autenticación?
- 27. ¿Tiene algún sentido usar CHAR si tiene un VARCHAR en la misma tabla?
- 28. ¿Cómo puedo usar WCF con solo basichttpbinding, SSL y Autenticación básica en IIS?
- 29. autenticación de usuario a través de certs ssl en django
- 30. Rails 3.1 ssl se usa incluso si desactivé ssl?
Tenga en cuenta que, a partir de 2015, Digest admite SHA-256 y SHA-512/256: https://tools.ietf.org/html/rfc7616#section-3.2 –