通过HTTPS使用HTTP Basic auth是否在等同于HTTP摘要身份验证的安全级别?如果是这样,HTTP摘要如何实现这种安全级别?它是否将用户名和密码添加到身份验证标头中?对不起,我有点困惑。有人可以帮我吗? Thnx:)
答案 0 :(得分:0)
不,这不完全正确。
摘要添加密码的用户名,哈希,以及防止重放攻击的随机数。但是,哈希是用MD5计算的,MD5已知密码学上很弱。
基本身份验证不能防止重放攻击并且不会对密码进行哈希处理,但是对于HTTP,该对通过加密。
在摘要:
中基本的HTTPS保护用户名,并提供强大的密码加密保护。它不容易受到重放攻击,因为HTTPS可以防止这些攻击。
HTTP上的摘要在MD5中容易出现密码缺陷,并以明文形式传递用户名。它确实可以防止重放攻击。
除非您在部署HTTPS方面遇到严峻挑战,否则我建议使用前者。