Sicurezza dietro la funzionalità "Sicurezza di Windows"

2

All'interno del meccanismo di autenticazione di Windows Security attivo, ci sono casi in cui compare il popup di accesso utente. Questo nome utente e password sono stati crittografati o inviati come testo semplice come fa il protocollo auth-base?

Ho scritto una domanda più dettagliata qui:

link

perché questo sito non funzionava prima.

Se ho ben compreso la seguente risposta:

Quanto è sicuro l'autenticazione integrata di Windows per IIS SMTP ?

Il fatto si basa sul protocollo che effettua la richiesta ma dubito che il protocollo impostato sulla barra degli indirizzi (http | https) stia prendendo in considerazione quando l'intestazione ("Autenticazione WWW") è richiesta. Dato che quella risposta era per SMTP, ho ancora dubbi sull'HTTP.

Qualcuno potrebbe confermare quanto è sicuro, per favore? Grazie in anticipo per il tuo tempo.

    
posta manou 12.06.2015 - 13:30
fonte

1 risposta

1

Se disponi di autenticazione di Windows su IIS, sei effettivamente consentendo i seguenti protocolli:

  • NTLM
  • Kerberos
  • Negozia - che sceglie automaticamente uno dei precedenti da utilizzare.

Se sono gli utenti di Internet a ricevere il prompt, è molto probabile che non si autenticheranno con Kerberos a meno che non si disponga di server di autenticazione e di concessione ticket. Pertanto la risposta derivata dall'hash NTLM sarà inviata via cavo come testo in chiaro. Tuttavia, questo non espone la password, ma la richiesta / risposta può essere annusato . Sarebbe anche possibile intercettare e / o modificare la sessione durante il trasporto.

Per proteggerlo devi implementare SSL / TLS in modo che il tuo server crittografa la connessione: avrà un URL HTTPS. Ciò impedirà eventuali intercettazioni o intercettazioni Man-In-The-Middle dei dati di connessione e autenticazione.

    
risposta data 12.06.2015 - 15:19
fonte

Leggi altre domande sui tag