Autenticação de resumo HTTP vs. Autenticação básica HTTPS [fechada]

1

Qual é a diferença entre a Autenticação Digest HTTP e a autenticação básica HTTPS de um ponto de vista de desempenho e segurança?

    
por qwert_ukg 21.08.2013 / 08:07

1 resposta

3

Do ponto de vista do desempenho, https exige que tudo seja criptografado: solicitação, resposta e credenciais.
Isso é, necessariamente, mais sobrecarga do servidor (CPU / tempo, RAM) do que a Autenticação Digest de HTTP, que simplesmente hashes as credenciais AUTH para que não possam ser facilmente interceptadas / roubadas.

Assim, todas as outras coisas sendo iguais, https + Autenticação básica será mais lenta que http + Autenticação Digest.
Quanto mais lento? Provavelmente não é qualquer valor que você vai notar, além da conexão inicial e do handshake SSL.

The remainder of this answer is completely stolen from the top answer on This Stack Overflow Question covering the exact same material.

Os prós e contras da Autenticação Digest HTTP são explicados claramente no artigo da Wikipedia sobre o tópico - você deve leia isso!

Para ser franco: o HTTP Digest Auth só irá protegê-lo de perder sua senha de texto puro para um invasor (e considerando o estado da segurança MD5, talvez nem mesmo isso).

No entanto, ele está totalmente aberto a ataques do tipo Man-in-the-Middle e também - dependendo da implementação, já que a maioria dos recursos avançados é opcional - replay, dicionário e outras formas de ataques.

No entanto, a maior diferença entre uma conexão HTTPS e uma conexão HTTP protegida pelo Digest Auth é que, com o antigo tudo , é criptografado com criptografia de chave pública, enquanto o segundo conteúdo é enviado de forma clara .

Quanto ao desempenho: dos pontos acima mencionados, deve ficar bem claro que você recebe o que paga (com ciclos de CPU).

Para "flexibilidade" eu vou com: huh?

    
por 21.08.2013 / 19:32