Можно ли зашифровать аутентификацию через HTTP через IIS (без SSL)? - PullRequest
Новая
       60

Можно ли зашифровать аутентификацию через HTTP через IIS (без SSL)?

5 голосов
/ 18 июня 2010

Я привык к * nix-серверам, и если нам нужен полностью безопасный вход в систему, мы (насколько мне известно) должны использовать SSL через HTTPS. Наша надзорная организация на работе использует серверы Windows для обслуживания веб-страниц. На одной такой странице они проверяют подлинность сетевых учетных данных. Эта страница использует HTTP, и то, что выглядит как для обычной аутентификации (всплывающее диалоговое окно) для диспетчера отчетов SQL Server.

Говорят, что Basic отключен в IIS.

Из-за моего ограниченного опыта работы с IIS в колледже, я полагаю, что субдомены могут переопределять общие настройки. Они считают, что он использует встроенную аутентификацию Windows.

Итак ...

  1. Есть ли способ различать обычную аутентификацию и встроенную аутентификацию Windows при просмотре приглашения на веб-странице и ...

  2. Можно ли зашифровать связь между компьютером и сервером во время аутентификации, чтобы отправляемый текст был зашифрован (без решения JS)?

Ответы [ 2 ]

2 голосов
/ 22 июня 2010

Вы также можете использовать HTTP Digest аутентификацию , которая будет шифровать аутентификацию в заголовке HTTP (даже без SSL).Появится диалоговое окно, похожее на то, которое вы получаете при обычной аутентификации HTTP.Есть несколько недостатков:

  • Большинство браузеров используют одно и то же диалоговое окно для базовой и дайджест-аутентификации, поэтому, как пользователь, вы не знаете, какой именно он использует.* Зашифрована только аутентификация, человек-посредник, который может перехватить и изменить обмен, может заменить содержимое запросов с использованием этих учетных данных.

По этим причинам SSL лучше (как предлагалось ранее).

2 голосов
/ 18 июня 2010

Как базовая, так и встроенная проверка подлинности Windows отправляют учетные данные в незашифрованном виде по кабелю. Если всплывающее окно входа содержит имя браузера и выглядит как стандартное окно, оно является базовым или встроенным. Если имя пользователя / пароль, используемые для получения доступа, совпадают с учетной записью домена пользователя, это Windows Integrated. Вы можете подтвердить это, прослушивая передачу HTTP с помощью Fiddler.

Не существует хорошего, практичного способа шифрования этих учетных данных в любом случае без SSL. Здесь - хорошая статья о том, почему нестандартные методы безопасности являются плохой идеей, а SSL - это путь.

...