authentication - password - ¿Todavía necesita usar la autenticación de resumen si está en SSL?
http basic authentication example (2)
A través de la autenticación básica de SSL es lo suficientemente seguro para la mayoría de las necesidades.
Esta es probablemente una pregunta estúpida, pero ¿puedo eliminarla de forma segura con solo la autenticación HTTP básica o aún me puedo beneficiar de la autenticación de resumen incluso si el servidor ya tiene SSL?
La única ventaja que obtendría al utilizar la autenticación HTTP Digest sobre SSL / TLS es evitar la divulgación de la contraseña del usuario al servidor mismo, si su servidor puede configurarse con contraseñas en "formato HA1" directamente (es decir, si no lo hace). No es necesario que conozca la contraseña, pero si la contraseña del usuario se puede configurar con MD5 (nombre de usuario: dominio: contraseña) , sin necesidad de borrar la contraseña, consulte Apache Httpd, por ejemplo).
En la práctica, esto no es realmente una gran ventaja. Hay mejores alternativas si se requiere la protección de la propia contraseña del servidor (en particular porque MD5 no se considera lo suficientemente bueno en la actualidad).
Las otras características de la autenticación HTTP Digest (sobre la forma / HTTP Basic) ya están provistas por la capa SSL / TLS.