Re: [OFF] Почему все придумывают свою систему web-аутентификации

["C.G.B. Spender" <spender@top-secret.name>]

On Fri, 2010-02-05 at 21:32 +0300, Ed wrote: 
> для внутреннего web-сайта нужно аутентифицировать пользователей.
> думаю использовать http authentication, если будут требования по 
> безопасности (например выставить в интернет) - та же стандартная 
> аутентификация поверх https или https + сертификаты.
> 
> сходу никаких минусов не вижу, но почему-то накто так не делает. 
> практически все сайты (в том числе и те, которые https-only) делают 
> аутентификацию по web-формочке, куда вносятся имя пользователя и пароль, 
> потом отслеживают куки и т.п...
> 
> почему?

Справедливости ради, стоит отметить тот факт, что не всё так идеально с
этими сертификатами:

http://www.pgpru.com/novosti/2009/vprotokolahssltlsnajjdenakriticheskajaujazvimostj

Цитата: "теоретически злоумышленник может под прикрытием обычной
активности пользователя совершить угодные атакующему действия на
сервере, при этом пользователь будет уверен, что совершает легитимные
операции в рамках защищенного соединения".

Хотя использовать эту уязвимость и сложнее, чем перехват/подмена
кукисов/трафика, тем не менее проблема пока до конца не решена.
Из этого следует, что авторизация с использованием сертификатов менее
безопасна, чем обычная веб-формочка или basic auth, digest auth, e.t.c.,
поверх SSL/TLS, без использования клиентских сертификатов.