Perché non vi è adozione di RFC 7616 (HTTP Digest Auth)

Naviga le tue risposte
7

Il successore di RFC 2617 aggiunge il supporto per SHA-256 anziché MD5 e rende obbligatorio il campo qop, rendendo così l'autenticazione completa più sicura.

Tuttavia, nessun browser / client principale (Edge, FF, Chrome, Opera, arricciatura) lo supporta.

Per me è un po 'strano dal momento che di solito i venditori di browser sono piuttosto attivi quando si tratta di standard di sicurezza migliori.

Perché è questo? Mi sto perdendo qualcosa qui?

    
posta eckes 04.03.2017 - 07:43
fonte

2 risposte

8

La maggior parte dei siti non utilizza alcuno dei meccanismi di autenticazione HTTP, ad esempio l'autenticazione di base o l'autenticazione del digest basato su MD5, poiché questi meccanismi sono molto limitati in ciò che offrono. Non è nemmeno possibile disconnettersi utilizzando questi meccanismi di autenticazione.

Tuttavia, anche i pochi siti che utilizzano l'autenticazione HTTP preferiscono di solito l'autenticazione di base su HTTPS anziché l'autenticazione digest, poiché l'ultimo richiede che le password siano memorizzate sul server come testo normale o equivalente, il che naturalmente non va bene per una sicurezza prospettiva.

Quindi l'unico vantaggio che l'autenticazione digest ha nei confronti di altri moduli di autenticazione è se viene utilizzato con connessioni non crittografate. In tutti gli altri casi è peggio degli altri metodi di autenticazione stabiliti. Ma qualsiasi tipo di accesso su connessioni non sicure è considerato comunque male oggi. Pertanto non è necessario migliorare leggermente un meccanismo di autenticazione già errato senza affrontare i problemi di base di esso, ovvero la memorizzazione della password in testo semplice (o equivalente in testo normale).

A parte questo, i punti deboli di MD5 come una brutta resistenza contro gli attacchi di collisione e l'attacco pre-immagine non incidono sul suo utilizzo nell'autenticazione del Digest, cioè sono ancora adatti a questo caso d'uso se usati insieme a un server casuale appropriato definito nonce.

    
risposta data 04.03.2017 - 10:24
fonte
2

Questa è una grande scoperta, non ero a conoscenza di HTTP Digest con hashing SHA

HTTP Digest è eccezionale perché:

  • è semplice impostare [ 1 ]
  • il metodo di hash è ufficialmente documentato
  • non hai mai bisogno di memorizzare la password dell'utente, solo la 'H (A1)' [ 3 ].
  • quindi non puoi rovinarlo

HTTPS + L'autenticazione di base non è eccezionale:

  • l'impostazione corretta è difficile e costosa [ 2 ]
  • barriera all'ingresso per i neofiti, che finiscono per dover fare affidamento sui provider SSL
  • centralizzato, può abilitare lo snooping non rilevabile dalla CA canaglia
  • fornisce un falso senso di sicurezza
  • nessuna guida generale su come conservare le credenziali in modo sicuro

Il motivo potenziale è che desiderano consolidare il controllo del Web, poiché l'emissione del certificato SSL è centralizzata.

Se si desidera la massima sicurezza, utilizzare contemporaneamente HTTPS AND HTTP Digest. E FARE incoraggia i venditori a implementare l'ultima RFC.

    
risposta data 05.06.2017 - 01:04
fonte

Leggi altre domande sui tag

MacOS Ransomware con EFI Lock Come dimenticare le chiavi LUKS durante l'emergenza?