seguridad ssl http-authentication digest

ssl - seguridad - spring security wikipedia



Autentificación HTTP Digest versus SSL (3)

¿Cuál es la diferencia entre la autenticación HTTP Digest y SSL desde el punto de vista del rendimiento, la seguridad y la flexibilidad?


La autenticación implícita solo cifra las credenciales de autenticación (es decir, el nombre de usuario y la contraseña que escribe en el cuadro de diálogo de autenticación de su navegador) ... SSL encripta todo lo que se encuentra en la página. Por lo tanto, SSL será menos eficiente y, por lo general, también es más complicado de configurar. Pero SSL tiene la ventaja de que permite a ambas partes verificar las identidades de las demás, si tienen certificados de confianza. La autenticación de resumen de HTTP no hace eso, por lo que cuando usa el resumen de HTTP sin SSL, realmente no sabe si el servidor al que está enviando su información de inicio de sesión es el correcto o un impostor.


Los pros y los contras de la autenticación HTTP Digest se explican claramente en el artículo de Wikipedia sobre el tema . ¡Debería leer eso!

Para decirlo sin rodeos: HTTP Digest Auth solo lo protegerá de perder su contraseña de texto simple ante un atacante (y considerando el estado de seguridad de MD5, tal vez ni siquiera eso).

Sin embargo, está abierto a los ataques Man-in-the-Middle y también, según la implementación, ya que la mayoría de las funciones avanzadas son opcionales: reproducción, diccionario y otras formas de ataques.

Sin embargo, la mayor diferencia entre una conexión HTTPS y una conexión HTTP protegida por Digest Auth es que, con la primera, todo se encripta con el cifrado de clave pública, mientras que con la última, el contenido se envía de forma clara.

En cuanto al rendimiento: de los puntos mencionados anteriormente, debe quedar bastante claro que obtiene lo que paga (con ciclos de CPU).

Por "flexibilidad" voy a ir con: ¿eh?


Algunas implementaciones de servidor de Autenticación de resumen HTTP lo obligan a guardar el passwort de texto sin cifrar en el servidor. Mejor implementaciones de guardar el username:realm:MD5(username:realm:password) archivo de contraseña.