当被要求研究对我公司的网站进行身份验证时,我最终使用了 htaccess 和 htpasswd。现在我被要求寻找更安全的解决方案。我被建议注意的一种情况是嗅探。我环顾四周,发现 HTTPS 似乎是我正在寻找的解决方案。
如果身份验证仅由我们的员工访问并允许他们访问数据库。这个数据库上的活动应该很轻。我的印象只是说......每个会话 5 个查询,检索到的数据也很轻量级。
从我读过的内容来看,似乎 HTTPS 是我应该押注在这里的。我在身份验证和加密方面的知识几乎为零,所以我想知道是否还有其他选项可以为我们的网站进行安全身份验证。
HTTPS主要提供:
后者是防范中间人攻击和冒充攻击的重要措施。想想有人冒充服务器并欺骗客户端提交密码等敏感数据。
请注意 - 为了工作 - 服务器必须具有由客户端浏览器识别的 CA 签名的 SSL 证书。这可以是由 Verisign 等商业 CA 获得的 SSL 证书,也可以是所有用户必须导入证书存储的自定义 SSL 证书。
最重要的是,HTTPS 可以保护您免受欺骗攻击,但前提是证书设置正确。不过,请务必禁用纯 HTTP,否则攻击者可能会尝试降级攻击。
使用 HTTPS,您可以使用多种方法中的任何一种来向服务器验证客户端,包括您现在使用的任何方法(我猜是 HTTP Basic 或 Digest)。其他选项包括 Kerberos、旧 NTLM、RADIUS 或客户端 SSL 证书。