1. Trang chủ
  2. Câu hỏi và trả lời
  3. Có thể xác thực qua HTTP qua IIS được mã hóa (không có SSL) không?

Có thể xác thực qua HTTP qua IIS được mã hóa (không có SSL) không?

2010-06-18 28 views
5

Tôi quen với máy chủ * nix và nếu chúng tôi muốn có màn hình đăng nhập hoàn toàn an toàn, chúng tôi (theo như tôi biết) đang sử dụng SSL qua HTTPS. Tổ chức giám sát của chúng tôi tại nơi làm việc sử dụng Máy chủ Windows để phục vụ các trang web. Trên một trang như vậy họ đang xác thực thông tin đăng nhập mạng. Trang này đang sử dụng HTTP và những gì xuất hiện là Basic Auth (hộp thoại bật lên) cho Trình quản lý báo cáo SQL Server.Có thể xác thực qua HTTP qua IIS được mã hóa (không có SSL) không?

Họ nói Cơ bản bị tắt trong IIS.

Trong kinh nghiệm hạn chế của tôi với IIS ở trường đại học, tôi (nghĩ rằng) nhớ lại tên miền phụ có thể ghi đè cài đặt chung. Họ tin rằng nó đang sử dụng Xác thực Windows Tích hợp.

Vậy ...

  1. Có cách nào để phân biệt giữa cơ bản Auth và Integrated Windows Auth khi xem một dấu nhắc web-page, và ...

  2. Có thể mã hóa giao tiếp giữa máy tính và máy chủ trong quá trình xác thực sao cho văn bản được gửi được mã hóa (không có giải pháp JS)?

Nguồn

2010-06-18 BrendonKoz

Trả lời

2

Cả xác thực cơ bản và Windows Gửi thông tin đăng nhập không được mã hóa qua dây. Nếu hộp đăng nhập bật lên có tên của trình duyệt trong đó, và trông giống như một cửa sổ tiêu chuẩn, đó là Cơ bản hoặc Tích hợp. Nếu tên người dùng/mật khẩu được sử dụng để truy cập giống như tài khoản miền của người dùng, thì đó là Windows Tích hợp. Bạn có thể xác nhận hoặc bằng cách đánh hơi truyền dẫn HTTP với Fiddler.

Không có cách nào tốt, thực tế để mã hóa các thông tin đăng nhập đó trong cả hai trường hợp không có SSL. Here là một bài viết hay về lý do tại sao các phương pháp bảo mật tùy chỉnh là một ý tưởng tồi và SSL là cách để đi.

Nguồn

2010-06-18 19:30:17

+0

Cảm ơn bạn, Dave! – BrendonKoz

+0

Muốn ghi chú rằng ** Xác thực tích hợp ** không vượt qua thông tin xác thực trên mạng. Từ MSDN - _Không giống như xác thực Basic và Digest, mật khẩu được mã hóa không được gửi qua mạng, điều này làm cho phương thức này rất an toàn._ – thinkster

2

Bạn cũng có thể sử dụng HTTP Digest authentication, mã này sẽ mã hóa xác thực trong tiêu đề HTTP (ngay cả khi không có SSL). Điều này sẽ hiển thị một hộp thoại tương tự như hộp thoại bạn nhận được với xác thực HTTP cơ bản. Có một vài nhược điểm:

  • Hầu hết các trình duyệt sử dụng cùng một hộp thoại cho cơ bản và Digest xác thực, như vậy là một người sử dụng, bạn không thực sự biết cái nào nó sử dụng.
  • Chỉ xác thực được mã hóa, một Người chuyên nghiệp có thể chặn và thay đổi trao đổi có thể thay thế nội dung của yêu cầu bằng các thông tin đăng nhập đó.

Vì những lý do này, SSL tốt hơn (như được đề xuất trước đó).

Nguồn

2010-06-21 23:21:21 Bruno

+0

Cảm ơn bạn, Bruno! Khi tôi đang tìm kiếm một giải pháp hoàn toàn an toàn, điều đó sẽ không hiệu quả, nhưng tôi chắc chắn đánh giá cao thông tin bổ sung và sẽ vượt qua nó. Cảm ơn một lần nữa! – BrendonKoz

Các vấn đề liên quan

 Các vấn đề liên quan