informações sobre o Windows Basic Authentication

Navegue suas respostas
1

Tenho algumas dúvidas sobre a autenticação básica no Windows Server 2008.

Eu li que a autenticação básica envia o passowrd como texto simples, por isso é inseguro, mas você pode combiná-lo com SSL para melhorar a segurança. Nesse caso, quais são as diferenças entre a autenticação básica com SSL e a autenticação integrada do Windows? Diferenças considerando a segurança (e também o desempenho).

E quais são as diferenças entre a autenticação nativa do Windows (básica) e uma autenticação de aplicativo, como a maioria dos usos do site? (mesmo aqui, diferenças de segurança e desempenho)

Obrigado

    
por Matteo 16.03.2011 / 12:26

2 respostas

1

Sim, a autenticação básica envia senhas em texto simples. Se o seu site for executado por SSL, isso fará com que todas as comunicações (incluindo a autenticação básica) sejam protegidas.

A Autenticação Integrada do Windows refere-se apenas ao fato de o IIS verificar todas as combinações de nome de usuário / senha recebidas em relação aos usuários do Windows (domínio e / ou usuários locais), em vez de verificar alguma outra loja. Você pode usar a autenticação integrada com estilos básicos (texto simples) ou digest (md5 hash) de credenciais de transferência. O último é mais seguro porque a senha real não é transmitida.

A menos que você esteja executando um site de intranet no qual seus clientes já tenham sido autenticados com o mesmo domínio do Windows, eu evitaria o uso da Autenticação Integrada do Windows.

Autenticação de aplicativo basicamente significa que você faz a autenticação em seu script / aplicativo da web. Isso geralmente envolve coletar um nome de usuário e senha em um formulário html normal, verificar o nome de usuário / senha em seu banco de dados e definir um valor de sessão indicando que o cliente foi autenticado. Essa é uma abordagem portátil, pois não requer que os usuários do Windows sejam configurados para seus clientes. Os formulários de login devem ser executados via SSL, pois os formulários passarão o campo da senha em texto simples.

    
por 16.03.2011 / 12:41
1

Com a autenticação básica, o usuário obtém um pop-up do navegador perguntando pelas credenciais, que são então enviadas ao servidor usando texto simples; portanto, a menos que você esteja usando SSL, elas podem ser capturadas.

Com a autenticação integrada do Windows, o navegador envia automaticamente para o servidor as credenciais com as quais o usuário está conectado no momento ao Windows; essas credenciais não são enviadas usando texto simples, mas isso, é claro, só faz sentido se o servidor e o cliente estiverem no mesmo domínio.

Uma autenticação de aplicativo é (basicamente) um formulário HTML que é enviado usando uma solicitação HTTP POST; isso também usa texto sem formatação, então não é seguro, a menos que seja protegido por SSL.

    
por 16.03.2011 / 12:34

Tags

Como adicionar um servidor de VM a um domínio de VM quando o host não está nesse domínio nginx - serve html estático se ip não é meu?