HTTP 다이제스트 인증에 HTTPS 사용

Question

HTTP 다이제스트 인증과 함께 HTTPS를 사용하는 데 단점이 있는지 궁금합니다. HTTP 다이제스트를 선택한 이유는 API를 쉽게 통합 할 수 있기 때문입니다.하지만 MD5를 사용하고 중간 공격에서 사람에게 감염되기 쉽기 때문에 가장 안전하지 않습니다. HTTP 다이제스트 인증과 HTTPS를 결합하면 더 나은 해결책이 될 수 있습니다. 나는 모든 조언에 크게 감사 할 것입니다. 감사합니다

Answer 1

HTTP 다이제스트 인증은 암호화 된 터널이 자격 증명을 보내기 전에 형성되기 때문에 HTTPS를 사용하면 확실히 좋습니다. 이것은 부분적으로 MITM이 기본 인증 및 다이제스트 인증을 생성 할 위험을 무효화합니다.

물론 클라이언트가 실수로 부적절한 엔드 포인트에 도달하거나 여전히 80을 수신하지 않고 HTTP를 통해 액세스 할 수 있도록 시스템이 구축 된 경우에는 자격 증명이 여전히 안전하지 않은 상태로 전송됩니다.