可以通過IIS上的HTTP進行身份驗證加密（無SSL）嗎？

Question

我習慣於* nix服務器，如果我們想要一個完全安全的登錄屏幕，我們（據我所知）將通過HTTPS使用SSL。我們的工作監督組織使用Windows服務器來提供網頁服務。在一個這樣的頁面上，他們正在驗證網絡憑證。此頁面使用HTTP，並且出現爲SQL Server Report Manager的基本身份驗證（彈出對話框）。

他們說Basic在IIS中被禁用。

在大學IIS中我有限的經驗，我（想我）記得子域可以覆蓋一般設置。他們相信它使用集成Windows身份驗證。

所以......

1. 有沒有辦法基本驗證和查看網頁時提示集成的Windows身份驗證來區分，並...

2. 是否有可能進行加密計算機和服務器之間的身份驗證過程中的通信，以便發送的文本被加密（沒有JS解決方案）？

Answer 1

Basic和Windows集成身份驗證都通過網絡發送未加密的憑據。如果彈出的登錄框中包含瀏覽器的名稱，並且看起來像標準窗口，則它是基本或集成的。如果用於獲得訪問權限的用戶名/密碼與用戶的域帳戶相同，則爲Windows集成。您可以通過使用Fiddler嗅探HTTP傳輸來進行確認。

在沒有SSL的情況下，沒有好的實用方法來加密這些憑證。 Here是一篇很好的文章，說明爲什麼自定義安全方法是一個糟糕的主意，SSL是一條不錯的主意。

Answer 2

您也可以使用HTTP Digest authentication，它將加密HTTP頭中的身份驗證（即使沒有SSL）。這將顯示一個類似於您通過HTTP基本身份驗證獲得的對話框。這裏有兩個缺點：

• 大多數瀏覽器使用相同的 對話框基本和摘要 認證，從而爲用戶，您 真的不知道哪一個是 使用。
• 只有認證加密， 一個人在這方面的中間人誰可以 攔截和更改交換 可以取代使用這些憑據 請求的內容。

由於這些原因，SSL更好（如前所述）。