در این بخش به فصل سیزدهم از کتاب HTTP The Definitive Guide با عنوان Digest Authentication می پردازیم.
Basic Authentication راحت و منعطف است اما کاملاً ناامن است. نامهای کاربری و گذرواژهها به صورت واضح ارسال میشوند و هیچ تلاشی برای محافظت از پیامها در برابر دستکاری وجود ندارد. تنها راه برای استفاده ایمن از Basic Authentication استفاده از آن در ارتباط با SSL است.
Digest Authentication به عنوان جایگزینی سازگار و امن تر برای احراز هویت اولیه توسعه داده شد. ما این فصل را به Digest Authentication اختصاص میدهیم. حتی اگر Digest Authentication هنوز به طور گسترده مورد استفاده قرار نگرفته است، مفاهیم هنوز برای هر کسی که تراکنشهای ایمن را اجرا میکند مهم است.
The Improvements of Digest Authentication
Digest Authentication یک پروتکل احراز هویت HTTP جایگزین است که سعی میکند جدیترین نقصهای Basic Authentication را برطرف کند. به طور خاص، Digest Authentication:
- هرگز رمزهای عبور مخفی را در سراسر شبکه به صورت شفاف ارسال نمیکند.
- از گرفتن و پخش مجدد Authentication Handshake توسط مهاجمان جلوگیری میکند.
- به صورت اختیاری میتواند از دستکاری در محتوای پیام محافظت کند.
- در برابر چندین اشکال رایج حملات دیگر نیز موارد محافظتی را اعمال میکند.
توجه داشته باشید که Digest Authentication ایمنترین پروتکل ممکن نیست. بسیاری از نیازها برای تراکنشهای HTTP ایمن با Digest Authentication برآورده نمیشوند. برای این نیازها، امنیت لایه حمل و نقل (TLS) و HTTP امن (HTTPS) پروتکلهای مناسبتری هستند.
با این حال، Digest Authentication به طور قابل توجهی قویتر از Basic Authentication است، که برای جایگزینی طراحی شده است. Digest Authentication نیز قویتر از بسیاری از طرحهای محبوب ارائه شده برای سایر سرویسهای اینترنتی است، مانند CRAM-MD5، که برای استفاده با LDAP، POP و IMAP پیشنهاد شده است.
تا به امروز، Digest Authentication به طور گسترده اجرا نشده است. با این حال، به دلیل خطرات امنیتی ذاتی Basic Authentication، معماران HTTP در RFC 2617 توصیه میکنند که «هر سرویسی که در حال حاضر از Basic استفاده میکند باید به محض عملی شدن به Digest تبدیل شود.».
هنوز مشخص نیست که این استاندارد چقدر موفق بوده است.
ادامه مطالب این بخش را می توانید از لینک زیر به صورت PDF دانلود نمایید: