J'ai créé une API REST qui utilise l'authentification Basic HTTP. Est limité à SSL uniquement. Maintenant qu'il est implémenté, j'entends des critiques que Basic HTTP over SSL n'est pas sécurisé. Il serait préjudiciable au projet de «stopper la presse» et ce serait hors de la portée de certains de mes clients à utiliser OAuth, etc. J'ai besoin de comprendre les risques et les récompenses de ces méthodes. Tous les exemples de grands noms utilisant l'authentification HTTP de base seraient également utiles.Quels sont les avantages et les inconvénients de l'authentification HTTP de base?
Répondre
L'authentification HTTP de base sur SSL est fondamentalement sécurisée, avec des mises en garde. Les problèmes de sécurité proviennent principalement de l'utilisation de l'authentification de base sans SSL, auquel cas, le nom d'utilisateur et le mot de passe sont exposés à un MITM. Dans un navigateur, il existe également des problèmes d'expiration des informations d'identification, mais ce n'est pas vraiment un problème pour les services REST.
peut-être que je suis induit en erreur mais je ne vois pas de problème avec SSL seulement BASIC ... esp. pas avec une API sans état.
Si les appelants sont obligés d'utiliser un proxy de reniflage SSL alors BASIC signifie que le mot de passe est disponible en clair pour le proxy ... dans ce cas précis Digest serait mieux (même avec SSL) parce que le proxy ne sait pas le mot de passe (digest signifie challenge challenge ...).
- 1. Quels sont les avantages/inconvénients de py2exe
- 2. Quels sont les avantages et les inconvénients de Liftweb Comet?
- 3. Quels sont les avantages et les inconvénients de NHibernate?
- 4. Quels sont les avantages et les inconvénients de l'utilisation d'OpenID?
- 5. Quels sont les avantages et inconvénients de l'USI?
- 6. Quels sont les avantages et les inconvénients d'avoir plusieurs héritages?
- 7. Quels sont les avantages et les inconvénients de la conception de base de données suivante?
- 8. Quels sont les avantages et les inconvénients de l'utilisation de l'héritage dans une base de données?
- 9. Quels sont les avantages/inconvénients de l'utilisation d'un CTE?
- 10. Quels sont les avantages et les inconvénients de gwt? Et pourquoi devrais-je choisir de l'utiliser?
- 11. Quels sont les avantages/inconvénients des rapports DevExpress?
- 12. quels sont les avantages et les inconvénients de l'exécution de php sur les fenêtres
- 13. Quels sont les avantages et les inconvénients de l'utilisation de MSI et MSP?
- 14. Quels sont les avantages et les inconvénients de Angular.js vs. Elm?
- 15. Web Service Security: Quels sont les avantages et les inconvénients de WSE3.0 et WCF?
- 16. Quels sont les avantages et les inconvénients de l'utilisation de boost :: iterator_facade?
- 17. Quels sont les avantages et les inconvénients de ces types de plugins?
- 18. Quels sont les avantages et les inconvénients de Scheme? Est-ce indépendant de la machine?
- 19. Quels sont les inconvénients et les avantages de l'utilisation de NoCount dans Reporting Services?
- 20. Quels sont les avantages et les inconvénients de l'utilisation d'un moteur de template comme Jade?
- 21. Quels sont les avantages et les inconvénients de l'utilisation de Jquery UI avec AngularJS?
- 22. Quels sont les inconvénients et les avantages de la méthode de chaînage dans jQuery?
- 23. WPF - MVVM - Quels sont les avantages et les inconvénients des différentes techniques de création de vues?
- 24. Quels sont les avantages et les inconvénients des différents algorithmes de détection de contours?
- 25. Quels sont les avantages et les inconvénients de l'utilisation d'un calque Data Services?
- 26. Fpgui et lcl et qt, quels sont les avantages et les inconvénients?
- 27. Prims vs Polys: quels sont les avantages et les inconvénients de chacun?
- 28. Quels sont les avantages et les inconvénients de l'utilisation d'un «index partiel»?
- 29. Quels sont les avantages et les inconvénients de mélanger des données avec des métadonnées?
- 30. Quels sont les avantages et les inconvénients de diverses variantes AES dans l'extension Java Cryptography?
Les proxys renifleurs ne fonctionneront pas sur SSL à moins qu'ils ne puissent dérober le certificat du serveur réel, ou que le client ne fasse confiance à un faux certificat, ce qui est le but ultime de SSL. –
Il existe de grandes entreprises installant un certificat racine supplémentaire sur les ordinateurs de leurs employés afin qu'ils puissent détecter SSL sur le proxy - même certains produits disponibles sur le marché sont vendus sur le terrain (le prerequesite doit toujours installer un certificat racine supplémentaire a le contrôle) – Yahia
Bon point. Je n'ai pas considéré la possibilité que mon propre ordinateur soit le vif. –