HTTP摘要式身份验证与SSL

从性能,安全性和灵活性的角度来看,HTTP摘要式身份验证和SSL有什么区别？

HTTP摘要身份验证的优缺点在Wikipedia关于该主题的文章中得到了相当清楚的解释- 您应该阅读它!

说穿了:HTTP Digest Auth只会保护你不会丢失你的明文密码给攻击者(考虑到MD5安全状态,甚至可能不是这样).

然而,它对于中间人攻击是开放的,并且 - 取决于实现,因为大多数高级功能是可选的 - 重放,字典和其他形式的攻击.

但是,由Digest Auth保护的HTTPS连接和HTTP连接之间的最大区别在于,前者的所有内容都使用公钥加密进行加密,而后者的内容则以明文形式发送.

至于性能:从上面提到的点,你应该很清楚你得到你支付的(CPU周期).

为了"灵活性",我会选择:嗯？

摘要式身份验证仅加密身份验证凭据(即您在浏览器的身份验证对话框中键入的用户名和密码)... SSL会对页面中的所有内容进行加密.因此,SSL效率会降低,而且通常也会涉及更多设置.但SSL确实具有以下优势:如果他们拥有可信证书,它可以让双方验证彼此的身份.HTTP摘要身份验证不会这样做,所以当使用没有SSL的HTTP摘要时,您实际上并不知道您发送登录信息的服务器是正确的还是冒名顶替者.