1. Accueil
  2. Question et réponse
  3. Authentification http ou https pour les applications Web Intranet

Authentification http ou https pour les applications Web Intranet

2009-11-25 7 views
4

Je développe une application Intranet et je souhaite effectuer une authentification sécurisée.Authentification http ou https pour les applications Web Intranet

Une approche peut être "https". Le problème est que le serveur n'a pas de certificat de confiance, c'est donc un peu ennuyeux pour le client car le navigateur n'a pas confiance dans le certificat et les plaintes avec un message effrayant.

utilisant http compromettra le mot de passe de l'utilisateur, mais il peut être combiné avec “Digest access authentication »

Que pensez-vous?

Source

2009-11-25 Dani Cricco

Répondre

5

Acheter un domaine et un certificat de confiance? Ils ne sont vraiment pas si cher si vous magasinez. Cela dit, l'authentification d'accès digest est relativement sûre pour l'authentification. En utilisant http plutôt que https, toutes les informations que vous envoyez à travers le fil seront en texte brut même si le mot de passe ne l'est pas. Toute personne qui peut brancher un ordinateur portable sur votre intranet en exécutant une application telle que WireShark peut voir toutes les informations envoyées dans les deux sens. Si vous tenez à ce que ces informations ne soient pas compromises, http ne répondra pas à vos besoins.

Source

2009-11-25 18:11:24

+4

"Toute personne qui peut brancher un ordinateur portable sur votre intranet exécutant une application telle que WireShark peut voir toutes les informations envoyées" Bien que cela soit vrai pour le sans fil, ce n'est pas vrai dans un réseau commuté (qui est ce que vous avez probablement avec la prise Ethernet dans le mur). Vous ne pourrez voir que le trafic de diffusion. HTTP n'est pas diffusé. –

+2

Le problème est que vous ne pouvez pas acheter de certificats pour les domaines internes. Seulement pour les domaines globaux comme .com, .net etc. – Timmmm

2

Si vous avez besoin d'une sécurité totale, vous devriez acheter le certificat SSL.

À partir du lien wiki que vous avez fourni:

Inconvénients

authentification d'accès Digest est conçu comme un compromis de sécurité; il est destiné à remplacer l'authentification d'accès HTTP Basic non cryptée qui est extrêmement faible. Toutefois, il n'est pas prévu de remplacer les protocoles d'authentification forte, tels que l'authentification par clé publique ou Kerberos.

Je pense qu'il ya votre réponse :)

Source

2009-11-25 18:12:20 jaywon

4

Vous avez ces options:

  1. Achat d'un certificat de confiance. Ou, générez votre propre certificat racine, installez-le dans les navigateurs sur tous les ordinateurs intranet (vous devriez être capable de le faire depuis son intranet), générez votre propre certificat de serveur signé avec votre propre certificat racine. C'est en fait ce que les entreprises font souvent.

Note: L'authentification Digest d'accès est utile si vous voulez avoir la forme d'authentification (un formulaire HTML avec l'utilisateur, mot de passe, la page de connexion en utilisant le style visuel de votre application, les rapports d'erreurs plus gentil mauvais mot de passe, peut-être plus des fonctionnalités telles que "se souvenir de moi" ou "mot de passe oublié").

Source

2009-11-25 18:27:00

+2

# 2 est ce que nous faisons ici. – Chris

4

En Novembre 2015, vous can't buy certificates for internal domains donc pour autant que je sache, la seule option est de pré-installer les certificats sur les clients. Pas une bonne solution. Une autre possibilité si vous souhaitez garder vos domaines internes privés est de créer un domaine public: mycompany.com, puis exécutez votre propre serveur DNS en interne qui résout vos domaines internes: accounting.internal.mycompany.com, hr.internal.mycompany.com et ainsi de suite. Ensuite, je crois que vous pouvez utiliser un certificat générique pour mycompany.com. Je n'ai pas testé cette solution.

Source

2015-12-03 13:21:18 Timmmm

 Questions connexes

  • Aucun problème connexe^_^