Дайджест-проверка подлинности доступа – Digest access authentication – abcdef.wiki

Digest

Работа Digest авторизации чуть сложнее. Прежде всего, при первом сообщении клиенту о необходимости прохождения авторизации (шаг 2), сервер передает в заголовке ряд параметров

  • realm – имя защищенной области (помните, мы акцентировали на ней внимание при настроке файла конфигурации?) Здесь значение этого параметра играет роль (в отличии от Basic авторизации)
  • nonce – уникальный ключ, генерируемый сервером в момент отправки сообщения клиенту
  • algorithm – название алгоритма (как правило, MD5)

Form based аутентификации

Про аутентификацию через

HTML

форму вы можете прочитать в статье

«PHP Аутентификация через форму»

Браузерная реализация

В большинстве браузеров реализованы существенные спецификации, за исключением некоторых определенных функций, таких как проверка AUTH-INT или алгоритм MD5-сессии. Если сервер требует, чтобы эти дополнительные особенности были обработаны, клиенты могут не иметь возможности проверки подлинности (хотя следует отметить, что mod_auth_digest для Apache тоже не в полной мере реализует RFC 2617).

Дайджест-аутентификация sip

Протокол инициации сеанса (SIP) использует в основном тот же алгоритм дайджест-аутентификации. Он указан в RFC 3261.

Недостатки

У аутентификации доступа к дайджесту есть несколько недостатков:

  • Веб-сайт не контролирует пользовательский интерфейс, предоставляемый конечному пользователю.
  • Многие параметры безопасности в RFC 2617 являются необязательными. Если качество защиты (qop) не указано сервером, клиент будет работать в устаревшем режиме RFC 2069 с пониженной безопасностью.
  • Аутентификация дайджест-доступа уязвима для атаки «злоумышленник посередине» (MITM) . Например, злоумышленник MITM может сказать клиентам использовать базовую аутентификацию доступа или устаревший режим аутентификации дайджест-доступа RFC2069. Чтобы расширить это, дайджест-аутентификация доступа не предоставляет клиентам механизма для проверки идентичности сервера.
  • Сервер может хранить HA1 = MD5 (имя пользователя: область: пароль) вместо самого пароля. Однако в случае утечки сохраненного HA1 злоумышленник может сгенерировать действительные ответы и получить доступ к документам в области так же легко, как если бы у них был доступ к самому паролю. Поэтому таблица значений HA1 должна быть защищена так же надежно, как и файл, содержащий пароли в виде открытого текста.
  • Аутентификация доступа к дайджесту предотвращает использование надежного хэша пароля (например, bcrypt ) при хранении паролей (поскольку пароль или переваренное имя пользователя, область и пароль должны быть восстановлены)
Похожее:  ТВ

Предопределённые php переменные

php.net

Ссылки

https://www.youtube.com/watch?v=o9nU9a0rwfI


Как только страница обновилась в Википедии она обновляется в Вики 2.Обычно почти сразу, изредка в течении часа.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *