http или https аутентификация для веб-приложений Интранет
3 ответа
Купить домен и доверенный сертификат? Они действительно не так уж и дороги, если вы будете делать покупки вокруг.
Сказав это, дайджест-аутентификация доступа достаточно безопасна для аутентификации. При использовании http вместо https вся информация, которую вы отправляете по сети, будет в виде обычного текста, даже если пароль не указан. Любой, кто может подключить ноутбук к вашей интрасети с запущенным приложением, таким как WireShark, может просматривать всю информацию, отправляемую туда и обратно. Если вы заботитесь о том, чтобы эта информация не была скомпрометирована, http не будет соответствовать вашим потребностям.
У вас есть следующие возможности:
Приобрести доверенный сертификат.
Или сгенерировать свой собственный корневой сертификат, установить его в браузерах на всех компьютерах интрасети (у вас должна быть такая возможность так как это интрасеть), создайте собственный сертификат сервера, подписанный вашим собственным корневым сертификатом. На самом деле это то, что компании часто делают.
Примечание. Аутентификация доступа к дайджесту бесполезна, если вы хотите использовать аутентификацию с помощью формы (HTML-форма с пользователем, паролем, страница входа с использованием визуального стиля вашего приложения, более приятная ошибка неверного пароля отчеты, возможно, дополнительные функции, такие как «запомнить меня» или «забыл пароль»).
Если вам нужна полная безопасность, вы должны приобрести сертификат SSL.
Из предоставленной вами вики-ссылки:
Недостатки
Дайджест-аутентификация доступа предназначена как компромисс безопасности; он предназначен для замены очень слабой незашифрованной аутентификации доступа HTTP Basic. Однако он не предназначен для замены строгих протоколов аутентификации, таких как открытый ключ или аутентификация Kerberos.
Думаю, вот ваш ответ :)