Re: [OFF] Почему все придумывают свою систему web-аутентификации
On Fri, 2010-02-05 at 21:32 +0300, Ed wrote:
> для внутреннего web-сайта нужно аутентифицировать пользователей.
> думаю использовать http authentication, если будут требования по
> безопасности (например выставить в интернет) - та же стандартная
> аутентификация поверх https или https + сертификаты.
>
> сходу никаких минусов не вижу, но почему-то накто так не делает.
> практически все сайты (в том числе и те, которые https-only) делают
> аутентификацию по web-формочке, куда вносятся имя пользователя и пароль,
> потом отслеживают куки и т.п...
>
> почему?
Справедливости ради, стоит отметить тот факт, что не всё так идеально с
этими сертификатами:
http://www.pgpru.com/novosti/2009/vprotokolahssltlsnajjdenakriticheskajaujazvimostj
Цитата: "теоретически злоумышленник может под прикрытием обычной
активности пользователя совершить угодные атакующему действия на
сервере, при этом пользователь будет уверен, что совершает легитимные
операции в рамках защищенного соединения".
Хотя использовать эту уязвимость и сложнее, чем перехват/подмена
кукисов/трафика, тем не менее проблема пока до конца не решена.
Из этого следует, что авторизация с использованием сертификатов менее
безопасна, чем обычная веб-формочка или basic auth, digest auth, e.t.c.,
поверх SSL/TLS, без использования клиентских сертификатов.
Reply to: