http ou https, authentification pour les applications Web Intranet
Je suis le développement d'une application Intranet et je veux faire une authentification sécurisée.
Une approche peut être d'utiliser “https”. Le problème est que le serveur ne dispose pas d'un certificat de confiance, donc c'est un peu gênant pour le client, car le navigateur ne prend pas en confiance dans le certificat et les plaintes avec un message effrayant.
L'aide du protocole http compromettre le mot de passe utilisateur, mais il peut être combiné avec “Digest authentification d'accès”
Qu'en pensez-vous?
OriginalL'auteur Dani Cricco | 2009-11-25
Vous devez vous connecter pour publier un commentaire.
L'achat d'un nom de domaine et certificat de confiance? Ils sont vraiment pas cher si vous magasinez.
Après avoir dit que, digest authentification d'accès est raisonnablement sûr pour l'authentification. À l'aide de http au lieu de https, toutes les informations que vous envoyez à travers le fil est du texte brut, même si le mot de passe n'est pas. Toute personne qui peut se connecter un ordinateur portable à votre réseau intranet de l'exécution d'une application tel que WireShark peut afficher toutes les informations envoyées avant en arrière. Si vous vous souciez que l'information n'est pas compromise, http ne sera pas répondre à vos besoins.
Le problème est que vous ne pouvez pas acheter des certificats pour les domaines internes. Seulement pour global des domaines comme .com, de .etc net.
OriginalL'auteur Eric J.
De novembre 2015, vous ne peut pas acheter des certificats pour les domaines internes pour autant que je sais que la seule option est de pré-installer les certificats sur les clients. Pas une bonne solution.
Un autre possability si vous voulez garder vos domaines internes privé est de créer un domaine public: mycompany.com et puis exécutez votre propre serveur DNS interne qui résout vos domaines internes:
accounting.internal.mycompany.com
,hr.internal.mycompany.com
et ainsi de suite. Alors je crois que vous pouvez utiliser un certificat générique pourmycompany.com
. Je n'ai pas testé cette solution.OriginalL'auteur Timmmm
Vous avez ces options:
L'achat d'un certificat de confiance.
Ou, à créer votre propre certificat racine de l'installer dans les navigateurs, sur tous les intranet des ordinateurs (vous devriez être en mesure de le faire, car c'est de l'intranet), de générer votre propre certificat de serveur signé avec votre propre certificat racine. C'est effectivement ce que les entreprises font souvent.
Remarque: Digest authentification d'accès n'est pas utile si vous voulez avoir l'authentification par formulaire (un formulaire HTML avec d'utilisateur, mot de passe, la page de connexion en utilisant le style visuel de votre application, plus agréable mauvais mot de passe d'erreur de déclaration, éventuellement, des fonctionnalités supplémentaires telles que "se souvenir de moi" ou "mot de passe oublié").
OriginalL'auteur Jan Soltis
Si vous en avez besoin pour être totalement sûr, vous devriez acheter le certificat SSL.
À partir du lien wiki que vous avez fournies:
Inconvénients
Digest authentification d'accès est conçu comme un échange de sécurité; il est destiné à remplacer HTTP non authentification d'accès de Base qui est extrêmement faible. Cependant, il n'est pas destiné à remplacer les protocoles d'authentification forte, comme la clé Publique ou de l'authentification Kerberos.
Je pense qu'il y a de votre réponse 🙂
OriginalL'auteur jaywon
Ces sommes (notre)options:
Si vous avez la plupart des hôtes Windows, vous pouvez Distribuer Des Certificats
sur les Ordinateurs Clients à l'Aide de Stratégie de Groupe | Microsoft
Docs
et d'utiliser votre propre certificat auto-signé dans ce sens.
aller à travers les cerceaux et les avertissements de l'installation de la
certificat correctement manuallly ou permettant le certificat auto-signé.
Une mauvaise expérience utilisateur.
Vous utilisez un bon nom de domaine, un vrai certificat et un désordre DNS
configuration où http://www.mycompany.com correspond à un site externe,
mais wiki.mycompany.com est un site interne (Mais s'il vous plaît, s'il vous plaît ne pas mettre à l'intérieur
adresse wiki.mycompany.com dans un visible de l'extérieur enregistrement DNS!)
Vous n'utilisez pas de HTTPS et HTTP. Éventuellement en inventant votre
propre sécurité pour les pages de connexion (Oups!)
Ils sont tous sucer.
Surtout si vous souhaitez distribuer une entreprise de prêt sur place de l'app, et vous ne savez pas le client du réseau et de la configuration DNS à l'avance.
OriginalL'auteur Peter V. Mørch