我始终在IIS内部的Web应用程序上启用集成安全性,并假设客户端上请求的密码将始终安全(加密)传输到我的身份验证服务器(AD / LSA)。我的假设是正确的吗?我一直认为这是'因为我总是认为它们与使用AD验证Windows客户端非常相似,在这种情况下客户端和放大器。服务器将使用NTLM或Kerberos进行身份验证,密码始终是加密的。
答案 0 :(得分:2)
没有。执行身份验证时,密码甚至不会发送到域控制器。发生challenge/response type algorithm会阻止执行此操作,并且比传递密码更安全。
答案 1 :(得分:0)
这可能是一个更好的ServerFault问题,但如果您没有使用Basic Auth作为密码,并且正在使用NTLM,那么密码的传输将被加密。 (它也仅适用于IE)。