Utworzono interfejs API REST, który korzysta z uwierzytelniania Basic HTTP. Jest ograniczony tylko do SSL. Po wdrożeniu słyszę krytykę, że podstawowy HTTP przez SSL nie jest bezpieczny. Byłoby szkodliwe dla projektu, żebym "zatrzymał prasę" i wykracza to poza zakres umiejętności moich klientów, którzy używają OAuth, itd. Muszę zrozumieć ryzyko i korzyści płynące z tych metod. Dowolne przykłady wielkich nazw przy użyciu uwierzytelniania podstawowego HTTP będą pomocne jako wsparcie również.Jakie są plusy i minusy podstawowego uwierzytelniania HTTP
Odpowiedz
Podstawowe uwierzytelnianie HTTP przez SSL jest w zasadzie bezpieczne, z zastrzeżeniami. Kwestie związane z bezpieczeństwem wynikają głównie z korzystania z podstawowego uwierzytelniania bez SSL, w takim przypadku nazwa użytkownika i hasło są narażone na działanie MITM. W przeglądarce występują również problemy z wygasaniem poświadczeń, ale nie jest to problemem dla usług REST.
Być może jestem w błędzie, ale nie widzę problemu z SSL tylko BASIC ... esp. nie z bezpaństwowym API.
Jeśli abonenci dzwoniący są zmuszeni do korzystania z serwera proxy podsłuchującego SSL, to BASIC oznacza, że hasło jest dostępne w postaci zwykłego tekstu do proxy ... w tym konkretnym przypadku Digest byłby lepszy (nawet z SSL), ponieważ proxy nie znałoby hasło (skrót oznacza odpowiedź na wyzwanie ...).
- 1. Jakie są plusy i minusy modelowania kotwicy?
- 2. Plusy i minusy READ_COMMITTED_SNAPSHOT
- 3. Jakie są plusy i minusy używania `select table_name. *`?
- 4. Jakie są plusy i minusy używania zmiennych rozgłoszeniowych w singleton?
- 5. Jakie są plusy i minusy Git-Flow vs Github-Flow?
- 6. newid() vs newsequentialid() Jakie są różnice/plusy i minusy?
- 7. OcMock vs OcMockito - jakie są plusy i minusy
- 8. Jakie są twoje plusy i minusy git po użyciu?
- 9. Jakie są plusy i minusy RemObjects PascalScript kontra skrypt DWS?
- 10. Jakie są plusy i minusy LinkedHashMaps vs. LinkedHashSets?
- 11. ServiceBus Architektura Plusy i minusy
- 12. SELECT * - plusy/minusy
- 13. Wypoczynek vs Wcf plusy i minusy
- 14. Pliki mapowane w pamięci: plusy i minusy?
- 15. Plusy i minusy: Hibernacja vs. EJB 3
- 16. GLib v APR plusy i minusy każdego
- 17. LWP :: UserAgent podstawowego uwierzytelniania HTTP
- 18. Jakie są plusy i minusy używania matryc, kątów Eulera i/lub kwateranów do reprezentacji rotacji?
- 19. Programowanie w wirtualnej maszynie - plusy i minusy
- 20. Jakie są plusy i minusy używania bazy danych dla IPC do udostępniania danych zamiast przekazywania wiadomości?
- 21. Proxyquire, ReWire, SandboxedModule i Sinon: plusy i minusy
- 22. Plusy i minusy węzła sass i gulp-sass
- 23. Jakie są plusy i minusy przy użyciu wizualnych komponentów markowe Studio dla danych
- 24. Jakie są plusy i minusy używania silnika szablonu, takiego jak Jade?
- 25. Jakie są plusy i minusy Asset-Pipeline/Turbolinks z Rails 4 dla dużej aplikacji?
- 26. Jakie są plusy i minusy używania configChanges = "orientacja" dla urządzeń z systemem Android?
- 27. Microsoft pyta: Lista pojedyncza lub podwójna? Jakie są plusy i minusy używania każdego z nich?
- 28. Jakie są główne różnice (plusy/minusy) między modelem ember, ember-niespokojny i emu?
- 29. Jakie są plusy i minusy pisania aplikacji WinRT C#/Xaml vs. HTML/JavaScript w Windows8
- 30. Jakie są plusy i minusy używania VARCHAR vs TEXT do przechowywania małych dokumentów XML w MySQL?
Sniffowanie serwerów proxy nie działa przez SSL, chyba że może wykraść prawdziwy certyfikat serwera lub przekonać klienta do zaufania fałszywemu certyfikatowi, co jest istotą SSL. –
są tam duże firmy instalujące dodatkowy certyfikat główny na komputerach swoich pracowników, dzięki czemu mogą sniffować SSL na serwerze proxy - nawet niektóre produkty z półki sprzedawane są w terenie (wymagana jest zawsze instalacja dodatkowego głównego certyfikatu proxy ma kontrolę nad) – Yahia
Dobra uwaga. Nie rozważałem możliwości, aby mój własny komputer był zniczem. –