SyntaxHighlighter

2011年9月26日月曜日

Basic 認証と Digest 認証の比較 (Apache)

Basic 認証
  • HTTP 1.0 から利用可能
  • 対応ブラウザの制限は実質的にない
  • アカウントとパスワードは base64 エンコードで送信される(暗号化ではない)ので万が一通信経路で傍受されると容易に漏洩してしまう
  • Apache の場合デフォルトで利用可能
Digest 認証
  • HTTP 1.1 から利用可能
  • 対応ブラウザが限られる(最新のブラウザであればほぼ問題ないが、古いブラウザでは未対応であったりバグがあったりする)
  • チャレンジ/レスポンス方式なので万が一通信経路で傍受されても漏洩する可能性は低い
  • Apache の場合、利用するには mod_auth_digest モジュールを有効にしてコンパイルする必要がある(ソースからコンパイルする場合。OS同梱のパッケージなどでは予め有効になっていることもある。)

推奨:対象ブラウザを制限できるなら Digest 認証、できないなら Basic 認証+SSL。

0 件のコメント:

コメントを投稿