当被要求考虑对我公司的网站进行身份验证时,我最终使用了htaccess和htpasswd。现在我被要求寻找更安全的解决方案。我被建议注意的一个场景是嗅闻。我环顾四周,发现HTTPS似乎是我正在寻找的解决方案。
如果我们的员工只能访问身份验证,并允许他们访问数据库。此数据库上的活动应该非常轻松。我的印象不过是说每个会话有5个查询,而且检索到的数据也是轻量级的。
从我所看到的,似乎HTTPS是我应该在这里押注的。我在身份验证和加密方面的知识几乎没有,所以我想知道是否还有其他选择可以为我们的网站进行安全身份验证。
答案 0 :(得分:5)
HTTPS主要提供:
后者是对抗中间人和冒充攻击的重要措施。想想有人冒充服务器并欺骗客户提交密码等敏感数据。
请注意 - 为了工作,服务器必须具有由客户端浏览器识别的CA签名的SSL证书。这可以是由Verisign等商业CA获得的SSL证书,也可以是您的所有用户必须导入证书存储区的自定义SSL证书。
总而言之,HTTPS可以保护您免受欺骗攻击,但前提是证书设置正确。不过,请务必禁用纯HTTP,否则攻击者可能会尝试降级攻击。
使用HTTPS,您可以使用多种方法中的任何一种来验证客户端到服务器,包括您现在使用的任何内容(我猜HTTP Basic或Digest)。其他选项包括Kerberos,旧的NTLM,RADIUS或客户端SSL证书。