В чем сильные и слабые стороны HTTP digest-авторизации

Вход на хостинг

Клиентам :: Прайс-лист :: Контакты

Наши услуги

Web-дизайн
сайтов
и баннеров

Разработка и
сопровождение
сайтов

Хостинг сайтов
и приобретение
доменов

Обслуживание
компьютеров и
программ

В чем сильные и слабые стороны HTTP digest-авторизации

Алексей Мичурин

Среди всех средств, предоставляемых протоколом HTTP, digest-авторизация стоит особняком. Почему? Чем она отличается от вездесущей basic-авторизации? Каковы её сильные и слабые стороны? Насколько хорошо она поддержана различным ПО и когда уместно её использовать?

В протоколе HTTP предусмотрено два типа авторизации. Basic-модификация получила весьма широкое распространение. «Системный администратор» уже писал о нём (№5, 2005 г., 88-92 с.). Тогда были детально рассмотрены связанные с авторизацией переменные окружения (AUTH_TYPE, REMOTE_USER, REDIRECT_REQUEST_METHOD, REDIRECT_STATUS, REDIRECT_URL), особенности взаимодействия механизмов авторизации и переадресации (в том числе при обработке ошибок, возникающих в защищённых зонах). Эти детали одинаковы для basic- и digest-процедур идентификации пользователей, и в настоящей статье мы уже не будем останавливаться на этих вопросах, а полностью сосредоточимся на специфике digest-авторизации.

Напомним только, что основным недостатком basic-процедуры является передача пароля в открытом виде. Причём пароль передаётся вновь и вновь при любом обращении к любому документу, находящемуся в защищённой области. Это обстоятельство облегчает перехват пароля и делает протокол ещё более уязвимым.

Кроме того, basic-авторизация не даёт возможности «разлогиниться» – прервать сессию. Это естественное следствие того, что никакой сессии и нет – прерывать просто нечего.

Basic-процедура не позволяет контролировать количество неудачных попыток регистрации. То есть позволяет «взламывать» защиту методом грубого подбора пароля.

Но существует и второй тип защиты – digest-авторизация. Давайте разберёмся, как она работает и какие преимущества даёт.

Digest-авторизация: диалог клиента и сервера

В общих чертах процедура digest-авторизации немного сложнее basic. Диалоги клиента и сервера весьма похожи. Однако при digest-авторизации пароль никогда не передаётся по сети в открытом виде.

При первом обращении к защищённой области клиент, естественно, не передаёт никакой идентификационной информации – он пока не знает, что её необходимо передать.

Вот заголовки обычного HTTP-запроса:

GET /a-docs/ HTTP/1.1

Host: 127.0.0.1:9090

User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.7) Gecko/20050420 Firefox/1.0.3

Предыдущая страница	Оглавление	Следующая страница

[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020] [021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040] [041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060] [061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080] [081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148]

Время генерации страницы 0.053 сек

Создай свой праздник Оформление воздушными шарами праздников Лучшие дизайнеры! . сервисное обслуживание котлов