He creado una API REST que usa la autenticación Basic HTTP. Está restringido solo a SSL. Ahora que está implementado, escucho críticas de que HTTP básico sobre SSL no es seguro. Sería perjudicial para el proyecto que "detenga la prensa" y estaría fuera del alcance de algunas de las habilidades de mis clientes para usar OAuth, etc. Necesito entender el riesgo y las recompensas de estos métodos. Cualquier ejemplo de nombres grandes que usen la autenticación HTTP básica sería útil como soporte también.¿Cuáles son los pros y los contras de la autentificación HTTP básica
Respuesta
La autenticación HTTP básica a través de SSL es básicamente segura, con salvedades. Los problemas de seguridad surgen principalmente del uso de la autenticación básica sin SSL, en cuyo caso, el nombre de usuario y la contraseña están expuestos a un MITM. En un navegador, también hay problemas con la expiración de credenciales, pero esto no es un problema tanto para los servicios REST.
quizás estoy confundido pero no veo un problema con SSL solamente BASIC ... esp. no con una API sin estado.
Si las personas que llaman se ven obligadas a usar un proxy SSL-sniffing, BASIC significa que la contraseña está disponible en texto plano para el proxy ... en este caso específico Digest sería mejor (incluso con SSL) porque el proxy no sabría la contraseña (digest significa respuesta de desafío ...).
- 1. ¿Cuáles son los pros y los contras de la UCI?
- 2. Objeto de solicitud, ¿cuáles son los pros y los contras?
- 3. ¿Cuáles son los pros y los contras de TreeSet
- 4. ¿Cuáles son los pros y los contras de usar Global.asax?
- 5. ¿Cuáles son los pros y los contras de Solr & ElasticSearch?
- 6. ¿Cuáles son los pros y los contras de los submódulos de git y Repo?
- 7. ¿Cuáles son los pros/contras de 64 bit .NET?
- 8. ¿Cuáles son los pros y los contras de la eliminación y las actualizaciones en cascada?
- 9. ¿Cuáles son los pros y los contras de la entrada delimitada general de Ruby? (sintaxis porcentual)
- 10. ¿Cuáles son los pros y los contras de los procedimientos de llamada en VB.NET?
- 11. ¿Cuáles son los pros y los contras de asset_packager y Jammit?
- 12. ¿Cuáles son los pros y los contras de HTML5 Canvas vs. SVG + Raphael.js?
- 13. Ruby daemons vs daemon-kit gems: ¿Cuáles son los pros y los contras?
- 14. ¿Cuáles son los pros y los contras de las bases de datos de objetos?
- 15. ¿Cuáles son los pros y los contras de usar un correo electrónico como nombre de usuario?
- 16. ¿Cuáles son los pros y los contras de usar una enumeración de banderas?
- 17. ¿Cuáles son los pros y los contras de almacenar archivos en una base de datos?
- 18. ¿Cuáles son los pros y los contras de las diversas implementaciones de Python?
- 19. ¿Cuáles son los pros y los contras de las revisiones de diseño/código?
- 20. ¿Cuáles son los pros y los contras de usar una plantilla de motor como Jade?
- 21. ¿Cuáles son los pros y los contras de usar git-svn?
- 22. ¿Cuáles son los pros y los contras de OleDB versus SQLClient?
- 23. ¿Cuáles son los pros y los contras para usar un contenedor de IOC?
- 24. ¿Cuáles son los pros y los contras de usar una DLL?
- 25. ¿Cuáles son los pros y los contras de adoptar HTML 5 ahora para rediseñar un sitio?
- 26. ¿Cuáles son los pros y los contras de ejecutar un trabajo en Hadoop usando varios idiomas?
- 27. ¿Cuáles son los pros y los contras de un sitio 100% HTTPS?
- 28. ¿Cuáles son los pros y los contras de usar Castle Active Record vs Straight NHibernate?
- 29. ¿Cuáles son los pros y los contras del uso de d-punteros?
- 30. ¿Cuáles son los pros y los contras de usar una Mac para el desarrollo web?
Los proponentes de inhalación no funcionarán a través de SSL a menos que puedan robar el certificado del servidor real o condenar al cliente a confiar en un certificado falso, que es el objetivo de SSL. –
hay grandes empresas instalando un certificado raíz adicional en las computadoras de sus empleados para que puedan oler SSL en el proxy, incluso algunos productos estándar se venden en el campo (antes de la instalación siempre es para instalar un certificado raíz adicional el proxy tiene control sobre) – Yahia
Buen punto. No consideré la posibilidad de que mi propia computadora fuera el soplón. –