Est-il vrai que l'utilisation de l'authentification HTTP Basic sur HTTPS correspond à un niveau de sécurité équivalent à l'authentification HTTP Digest? Si oui, comment digérer HTTP atteindre ce niveau de sécurité? Est-ce qu'il ajoute le nom d'utilisateur et le mot de passe dans l'en-tête d'authentification? Désolé, je suis un peu confus. Est-ce que quelqu'un peut m'aider? Thnx :)(Authentification HTTP de base/HTTPS == HTTP Digest auth)?
Non, ce n'est pas tout à fait vrai.
Digest ajoute le nom d'utilisateur, hashes du mot de passe, et nonces pour empêcher les attaques par relecture. Cependant, les hachages sont calculés avec MD5 qui est connu pour être cryptographiquement faible.
L'authentification de base ne protège pas contre les attaques de relecture et ne pas hacher le mot de passe, mais avec HTTP, la paire passe cryptée.
En résumé :
Basic via HTTPS protège le nom d'utilisateur et fournit une protection cryptographique fort du mot de passe. Il n'est pas susceptible de rejouer les attaques car HTTPS protège contre celles-ci. Digest over HTTP est sujette à des faiblesses cryptographiques dans MD5, et passe le nom d'utilisateur en clair. Il protège contre les attaques par rejeu.
Sauf si vous avez de gros problèmes avec le déploiement de HTTPS, je recommanderais le premier.