Может аутентификация через HTTP по IIS быть зашифрованной (без SSL)?
Я приучен к *, отклоняют серверы и если мы хотели абсолютно безопасное, входят в систему экран, мы (насколько я знаю), должны использовать SSL через HTTPS. Наше наблюдение за организацией на работе использует Windows Server для обслуживания веб-страниц. На одной такой странице они аутентифицируют сетевые учетные данные. Эта страница использует HTTP, и что, кажется, Основной Автор (всплывающее диалоговое окно) для Диспетчера отчетов SQL Server.
Они говорят Основной, отключен в IIS.
В моем ограниченном опыте с IIS в колледже я (думают I) субдомены отзыва могут переопределить общие настройки. Они полагают, что это использует Интегрированную аутентификацию Windows.
Так...
Есть ли способ дифференцироваться между Основным Автором и Интегрированным Windows Auth при просмотре подсказки веб-страницы, и...
Действительно ли возможно зашифровать коммуникацию между компьютером и сервером во время аутентификации так, чтобы отправляемый текст был зашифрован (без решения JS)?
2 ответа
Как обычная, так и встроенная проверка подлинности Windows отправляют учетные данные в незашифрованном виде по сети. Если во всплывающем окне входа в систему указано имя браузера и оно выглядит как стандартное окно, это базовое или интегрированное окно. Если имя пользователя и пароль, используемые для получения доступа, совпадают с учетной записью домена пользователя, это значит, что он интегрирован в Windows. Вы можете подтвердить либо прослушивание HTTP-передачи с помощью Fiddler.
В любом случае нет хорошего практического способа зашифровать эти учетные данные без SSL. Здесь хорошая статья о том, почему специальные методы безопасности - плохая идея, а SSL - лучший вариант.
Вы также можете использовать HTTP-дайджест-аутентификацию , которая зашифрует аутентификацию в HTTP-заголовке (даже без SSL). Появится диалоговое окно, подобное тому, которое вы получаете при базовой аутентификации HTTP. Есть несколько недостатков:
- Большинство браузеров используют то же самое. диалоговое окно для Basic и Digest аутентификации, поэтому, как пользователь, вы действительно не знаю, какой это с использованием.
- Шифруется только аутентификация, Человек посередине, который мог перехватить и изменить обмен может заменить содержание запросы с использованием этих учетных данных.
По этим причинам SSL лучше (как предлагалось ранее).