Ho esaminato le RFC e ho una certa familiarità con Kerberos.
Mi sembra che su un collegamento non crittografato (HTTP), Kerberos non perda la password dell'utente (o sfida / risposta basata sull'hash come NTLMv1 / v2) e / o sia suscettibile a un attacco di risposta.
In un'implementazione progettata correttamente di Kerberos, l'autenticazione HTTP è considerata sicura su un collegamento non crittografato?