22
प्रदर्शन, सुरक्षा और लचीलापन बिंदु से HTTP डायजेस्ट प्रमाणीकरण और एसएसएल के बीच क्या अंतर है?HTTP डायजेस्ट प्रमाणीकरण बनाम एसएसएल
A
उत्तर
35
HTTP डायजेस्ट प्रमाणीकरण के पेशेवरों और विपक्ष को Wikipedia article on the topic में स्पष्ट रूप से समझाया गया है - आपको इसे पढ़ना चाहिए!
इसे स्पष्ट रूप से रखने के लिए: HTTP डायजेस्ट ऑथ आपको केवल एक हमलावर (और एमडी 5 सुरक्षा की स्थिति पर विचार करने पर) को अपने क्लीयरएक्स्ट पासवर्ड को खोने से बचाएगा।
हालांकि यह मैन-इन-द-मध्य हमलों के लिए व्यापक रूप से खुला है और कार्यान्वयन के आधार पर भी, क्योंकि अधिकांश उन्नत सुविधाएं वैकल्पिक हैं - रीप्ले, डिक्शनरी और हमलों के अन्य रूप हैं।
हालांकि, एक HTTPS कनेक्शन और एक HTTP कनेक्शन डाइजेस्ट प्रमाणीकरण द्वारा संरक्षित के बीच सबसे बड़ा अंतर यह है कि के साथ पूर्व सब कुछ, सार्वजनिक कुंजी एन्क्रिप्शन के साथ एन्क्रिप्टेड है उत्तरार्द्ध सामग्री स्पष्ट में भेज दिया जाता है, जबकि साथ।
प्रदर्शन के लिए: उपर्युक्त बिंदुओं से यह स्पष्ट होना चाहिए कि आप जो भुगतान करते हैं वह आपको प्राप्त होता है (सीपीयू चक्र के साथ)।
"लचीलापन" के लिए मैं साथ जाऊंगा: हुह?
8
डाइजेस्ट प्रमाणीकरण केवल प्रमाणीकरण क्रेडेंशियल्स को एन्क्रिप्ट (जो है, यूज़रनेम और पासवर्ड आप अपने ब्राउज़र के प्रमाणीकरण संवाद में टाइप) ... एसएसएल को एन्क्रिप्ट पेज में सब कुछ। तो एसएसएल कम कुशल होगा, और यह आमतौर पर स्थापित करने के लिए भी अधिक शामिल है। लेकिन एसएसएल का लाभ यह है कि यदि दोनों विश्वसनीय प्रमाण पत्र हैं तो दोनों पक्ष एक-दूसरे की पहचान सत्यापित करते हैं। HTTP पाचन प्रमाणीकरण ऐसा नहीं करता है, इसलिए SSL के बिना HTTP पाचन का उपयोग करते समय, आपको वास्तव में पता नहीं है कि जिस सर्वर पर आप अपनी लॉगिन जानकारी भेज रहे हैं वह सही है या एक प्रेरक है।
+0
मेरी समझ में पाचन प्रमाणीकरण में एक तथाकथित एचएमएसी पर कोई एन्क्रिप्शन नहीं है। – max
+1
जो क्रिप्टोग्राफिक कार्यों का उपयोग करके गणना की जाती है ... – hop
+0
@mdorseif: मुझे लगता है कि मैं बहुत सटीक नहीं था। मेरा मतलब कुछ डेटा को अनजान करने के अर्थ में "एन्क्रिप्शन" था, भले ही उलट या नहीं। लिनक्स पर हैश पासवर्ड के लिए इस्तेमाल क्रिप्ट() फ़ंक्शन के समान ही अर्थ। –
4
HTTP डाइजेस्ट प्रमाणीकरण बल आप में से कुछ सर्वर कार्यान्वयन बेहतर कार्यान्वयन बचाने username:realm:MD5(username:realm:password) इस salting संग्रहीत पासवर्ड जो कुछ सुरक्षा करता है, तो हमलावरों पासवर्ड फ़ाइल प्राप्त किया है देता है के प्रभाव पड़ता है सर्वर पर क्लियर पासवर्ड द्वारा बचाने के लिए।
संबंधित मुद्दे
- 1. क्या मैं डायजेस्ट प्रमाणीकरण
- 2. सुरक्षा और प्रमाणीकरण: एसएसएल बनाम SASL
- 3. एसएसएल प्रमाणीकरण?
- 4. एसएसएपी 1.2 एसएसएल + HTTP मूल प्रमाणीकरण या डब्ल्यूएस-सुरक्षा पर?
- 5. सस्ते एसएसएल बनाम महँगा एसएसएल
- 6. क्लाइंट एसएसएल प्रमाणीकरण node.js
- 7. सत्र लॉगिन बनाम HTTP प्रमाणीकरण। लाभ नुकसान
- 8. एपीआई को सुरक्षित करना: एसएसएल और HTTP बेसिक प्रमाणीकरण बनाम हस्ताक्षर
- 9. आरईएसटी HTTP प्रमाणीकरण - कैसे?
- 10. HTTP प्रमाणीकरण
- 11. विंडोज प्रमाणीकरण बनाम प्रमाणीकरण
- 12. म्यूचुअल एसएसएल - कितना प्रमाणीकरण पर्याप्त है?
- 13. अपाचे-एसएसएल बनाम mod_ssl
- 14. STARTTLS बनाम एसएसएल/टीएलएस
- 15. HTTP मूल प्रमाणीकरण
- 16. कस्टम HTTP प्रमाणीकरण हैडर
- 17. एएसपी.नेट HTTP प्रमाणीकरण शीर्षलेख
- 18. http प्रमाणीकरण कैश
- 19. HTTP डाइजेस्ट प्रमाणीकरण
- 20. HTTP मूल प्रमाणीकरण python
- 21. jQuery HTTP प्रमाणीकरण
- 22. सशर्त HTTP मूल प्रमाणीकरण
- 23. HTTP प्रमाणीकरण iPhone
- 24. HTTP प्रमाणीकरण - डब्ल्यूडब्ल्यूडब्ल्यू-प्रमाणीकरण शीर्षलेख - एकाधिक क्षेत्र
- 25. HTTP POST HTTP बनाम डाल
- 26. HTTP हैंडलर बनाम HTTP मॉड्यूल
- 27. एंड्रॉइड एसएसएल क्लाइंट प्रमाण पत्र प्रमाणीकरण
- 28. जावा: एसएसएल क्लाइंटसाइड प्रमाणीकरण स्व-हस्ताक्षरित प्रमाणपत्र
- 29. HttpURLConnection का उपयोग कर HTTP प्रमाणीकरण को कैसे संभालें?
- 30. फोनगैप फ़ाइल HTTP बुनियादी प्रमाणीकरण
क्या आपके प्रश्न को सुनना है जैसे हम परीक्षा ले रहे हैं? – hop
क्षमा करें, मैं इसे फिर से लिखूंगा :) – Gili
अब मैं जानना चाहता हूं कि मूल कैसा दिख रहा था! – ciscoheat