HTTP 摘要式身份验证与 SSL

Question

从性能、安全性和灵活性的角度来看，HTTP 摘要式身份验证和 SSL 有什么区别？

Answer 1

有关该主题的维基百科文章中非常清楚地解释了 HTTP 摘要式身份验证的优缺点 -你应该读一下！

坦率地说：HTTP Digest Auth 只能保护您免遭攻击者丢失明文密码（考虑到 MD5 安全性的状况，也许连这个都做不到）。

然而，它对中间人攻击以及重播、字典和其他形式的攻击（取决于实现，因为大多数高级功能都是可选的）敞开大门。

然而，HTTPS 连接和受摘要式身份验证保护的 HTTP 连接之间的最大区别在于，前者所有内容都使用公钥加密进行加密，而后者内容则以明文形式发送。

至于性能：从上面提到的几点来看，您应该很清楚一分钱一分货（使用 CPU 周期）。

为了“灵活性”，我会选择：嗯？

Answer 2

摘要式身份验证仅加密身份验证凭据（即您在浏览器的身份验证对话框中输入的用户名和密码）...SSL 加密页面中的所有内容。 因此 SSL 的效率会较低，而且设置起来通常也比较复杂。 但 SSL 确实有一个优点，即如果双方拥有受信任的证书，它可以让双方验证彼此的身份。 HTTP 摘要身份验证不会执行此操作，因此在不使用 SSL 的情况下使用 HTTP 摘要时，您并不真正知道向其发送登录信息的服务器是正确的服务器还是冒名顶替的服务器。

Answer 3

HTTP 摘要身份验证的某些服务器实现强制您在服务器上保存明文密码，更好的实现保存 username:realm:MD5(username:realm:password) 这具有 加盐存储的密码，如果攻击者获得了密码文件，这可以提供一定的安全性。