如果客户端通过 http(而不是 https)访问 Windows 服务器上的文件并使用浏览器中的集成 Windows 身份验证进行身份验证,那么发送的密码有多安全?
是否以明文形式发送?
答案1
使用集成安全,密码根本不会通过网络发送,因此它比基本或摘要安全更好。您需要了解一些注意事项,例如浏览器支持、外部身份验证、委托等。
看一下本文了解集成安全性的工作原理以及注意事项。请参阅身份验证方法部分中的集成安全性。
摘自本文:
集成 Windows 身份验证(使用 NTLM 质询/响应或 Kerberos)涉及使用 Windows NT 域或 Active Directory 帐户对用户进行身份验证。与基本身份验证和摘要式身份验证不同,加密密码不会通过网络发送,这使得此方法非常安全。如果服务器上安装了 Active Directory 服务,并且浏览器与 Kerberos V5 身份验证协议兼容,则将同时使用 Kerberos V5 协议和质询/响应协议;否则仅使用质询/响应协议。它最适合于内部网环境,其中用户和 Web 服务器计算机都位于同一域中,并且管理员可以确保每台计算机都运行 Microsoft Internet Explorer 3.01 或更高版本。