从性能,安全性和灵活性的角度来看,HTTP摘要式身份验证和SSL有什么区别?
答案 0 :(得分:36)
在Wikipedia article on the topic中非常清楚地解释了HTTP摘要式身份验证的优缺点 - 您应该阅读它!
直截了当地说:HTTP Digest Auth只会保护您不会丢失您的明文密码给攻击者(考虑到MD5安全状态,甚至可能不是这样)。
然而,对于中间人攻击而言,它也是开放的,并且 - 取决于实现,因为大多数高级功能是可选的 - 重放,字典和其他形式的攻击。</ p>
然而,由Digest Auth保护的HTTPS连接和HTTP连接之间的最大区别在于,前者所有都使用公钥加密进行加密,而后者内容则以明文形式发送
至于性能:从上面提到的几点来看,你应该很清楚你得到的是你所支付的(带有CPU周期)。
对于“灵活性”,我会选择:嗯?
答案 1 :(得分:8)
摘要式身份验证仅加密身份验证凭据(即您在浏览器的身份验证对话框中键入的用户名和密码)... SSL加密页面中所有内容。因此,SSL效率会降低,而且通常也会涉及更多设置。但SSL确实具有以下优势:如果他们拥有可信证书,它可以让双方验证彼此的身份。 HTTP摘要身份验证不会这样做,所以当使用没有SSL的HTTP摘要时,您实际上并不知道您发送登录信息的服务器是正确的还是冒名顶替者。
答案 2 :(得分:4)
HTTP摘要身份验证的某些服务器实现强制您在服务器上保存明文密码更好的实现保存username:realm:MD5(username:realm:password)这具有salting存储密码的效果,如果攻击者已获得密码文件。