那些遇到过的问题

是否可以通过IIS上的HTTP进行身份验证(不使用SSL)?

Bre*_*Koz 5 authentication iis encryption ssl http

我已经习惯了*nix服务器,如果我们想要一个完全安全的登录屏幕,我们(据我所知)将通过HTTPS使用SSL.我们的工作监督组织使用Windows服务器来提供网页服务.在一个这样的页面上,他们正在验证网络凭据.此页面使用HTTP,并且似乎是SQL Server报表管理器的Basic Auth(弹出对话框).

他们说在IIS中禁用Basic.

由于我在大学时对IIS的经验有限,我(想想我)回忆一下子域名可以覆盖一般设置.他们认为它正在使用集成Windows身份验证.

所以...

  1. 有没有办法在查看网页提示时区分Basic Auth和Integrated Windows Auth,以及......

  2. 是否可以在身份验证期间加密计算机和服务器之间的通信,以便加密发送的文本(没有JS解决方案)?

Dav*_*sky 2

基本身份验证和 Windows 集成身份验证均通过网络发送未加密的凭据。如果弹出的登录框包含浏览器的名称,并且看起来像标准窗口,则它是基本或集成。如果用于获取访问权限的用户名/密码与用户的域帐户相同,则它是 Windows 集成的。您可以通过使用 Fiddler 嗅探 HTTP 传输来确认。

在任何一种情况下,如果没有 SSL,都没有好的、实用的方法来加密这些凭证。 是一篇好文章,介绍了为什么自定义安全方法不是一个好主意,而 SSL 是最佳选择。

归档时间:

查看次数:

3195 次

最近记录:

15 年,2 月 前
相关归档
我应该用netsh.exe做什么appid? 76
使用SMJobBless()编写特权帮助工具 25
CakePHP Auth如何允许特定的控制器和操作 10
如何使用IIS下的HTTP处理程序处理长时间运行的请求? 6
AAD注册Azure功能+ GraphAP Delegated + SharePoint Online? 5
使用Phonegap扫描名片 4
带有可选 ClientCertificate 的 SslStream AuthenticateAsServer 2
$ http.post不是一个函数 2
JWT RS256 是否需要 OpenSSL?无法在 PHP 中解码 JWT 2
postgresql 重新加载 ssl conf 文件而不重新启动 1
难疑归档
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
grep一个文件,但显示几个周围的行? 3277
从Git存储库中删除文件而不从本地文件系统中删除它 2892
如何在PHP中阻止SQL注入? 2776
将具有默认值的列添加到SQL Server中的现有表 2648
将字节转换为字符串? 1968
什么是C ??!??!操作员呢? 1911
在C#中调用基础构造函数 1398
如何使用jQuery设置/取消设置cookie? 1209
使用Twitter Bootstrap 3将列居中 1109