Serverul HTTPD face autentificare LDAP. Cum funcționează mecanismul?

Am un server HTTPD apache care face autentificare LDAP. Când utilizatorul accesează adresa URL http://localhost/, apare o solicitare a browserului care solicită numele de utilizator și parola.

• Cum sunt transportate numele de utilizator și parola de la browser la serverul HTTPD? Sunt într-adevăr transferate pe server prin rețea? Dacă da, sunt criptate?
• Este promptul browserului mai sigur decât introducerea acreditărilor direct în pagina de conectare a unui site web?

Aveți nevoie de o explicație simplă despre cum funcționează autentificarea.

Schema de autentificare HTTP „de bază” este descrisă în RFC 7617.

Acreditările sunt transmise ca antet HTTP și nu sunt criptate, astfel încât utilizarea Auth-ului de bază peste HTTP simplu fără criptare este nesigură. Dacă este folosit prin HTTPS, există alte probleme - vezi asta întrebare

Doi răspund la a doua întrebare:

Este promptul browserului mai sigur decât introducerea acreditărilor direct în pagina de conectare a unui site web?

Nu.

„Promptul browserului”, Autentificare HTTP de bază, are o singură calitate de răscumpărare și numele spune totul, este cea mai simplă, cea mai simplă schemă de autentificare pe care o puteți utiliza.

Dar acea simplitate nu oferă o bună securitate.

Multe dintre aceste neajunsuri se află sub capotă, la care sa referit deja AlexD acest raspuns dar ceva chiar și utilizatorii tăi pot observa:

• nu există o metodă de „deconectare”.