On Fri, 2010-02-05 at 21:32 +0300, Ed wrote: > для внутреннего web-сайта нужно аутентифицировать пользователей. > думаю использовать http authentication, если будут требования по > безопасности (например выставить в интернет) - та же стандартная > аутентификация поверх https или https + сертификаты. > > сходу никаких минусов не вижу, но почему-то накто так не делает. > практически все сайты (в том числе и те, которые https-only) делают > аутентификацию по web-формочке, куда вносятся имя пользователя и пароль, > потом отслеживают куки и т.п... > > почему?
Справедливости ради, стоит отметить тот факт, что не всё так идеально с этими сертификатами: http://www.pgpru.com/novosti/2009/vprotokolahssltlsnajjdenakriticheskajaujazvimostj Цитата: "теоретически злоумышленник может под прикрытием обычной активности пользователя совершить угодные атакующему действия на сервере, при этом пользователь будет уверен, что совершает легитимные операции в рамках защищенного соединения". Хотя использовать эту уязвимость и сложнее, чем перехват/подмена кукисов/трафика, тем не менее проблема пока до конца не решена. Из этого следует, что авторизация с использованием сертификатов менее безопасна, чем обычная веб-формочка или basic auth, digest auth, e.t.c., поверх SSL/TLS, без использования клиентских сертификатов. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
