Ho letto un sacco di articoli che affermano che l'autenticazione di base + SSL è la soluzione per Autenticazione del digest .
Stavo pensando a:
Con la mia lettura e comprensione di base, la vedo più sicura perché aggiungo un livello di sicurezza nel caso in cui SSL venga violato. O non lo è?
Questo non protegge da una violazione di SSL. Se un utente malintenzionato può violare la connessione SSL, può leggere sia la nonce send dal server che la password crittografata e può quindi decifrare la password. Anche se non è crittografato ma hashed insieme al nonce (come di solito avviene nell'autenticazione digest), l'autore dell'attacco potrebbe semplicemente sostituire lo script utilizzato per la crittografia per perdere la password perché questo script viene inviato dal server anche all'interno della connessione SSL violata. / p>
Oltre a non proteggere da una violazione di SSL, questa proposta (e anche l'autenticazione digest) richiede anche che la password sia archiviata in chiaro (o equivalente) sul server per il confronto. Ciò rende il sistema meno sicuro in caso di un errore del server rispetto ai soliti sistemi in cui la password è memorizzata come hash unidirezionale.
Leggi altre domande sui tag authentication tls