ฉันมีเซิร์ฟเวอร์ HTTPD apache ซึ่งทำการตรวจสอบสิทธิ์ LDAP เมื่อผู้ใช้กด URL http://localhost/ ข้อความแจ้งของเบราว์เซอร์จะปรากฏขึ้นเพื่อขอชื่อผู้ใช้และรหัสผ่าน
ต้องการคำอธิบายง่ายๆ เกี่ยวกับวิธีการทำงานของการรับรองความถูกต้อง
แผนการพิสูจน์ตัวตน HTTP 'พื้นฐาน' มีอธิบายไว้ใน อาร์เอฟซี 7617.
ข้อมูลรับรองจะถูกส่งผ่านเป็นส่วนหัว HTTP และไม่ได้เข้ารหัส ดังนั้นการใช้ Basic Auth ผ่าน HTTP ธรรมดาโดยไม่มีการเข้ารหัสจะไม่ปลอดภัย หากใช้ผ่าน HTTPS อาจมีปัญหาอื่นๆ ดูที่นี่ คำถาม
สองตอบคำถามที่สองของคุณ:
การแจ้งเตือนของเบราว์เซอร์ปลอดภัยกว่าการป้อนข้อมูลรับรองโดยตรงในหน้าลงชื่อเข้าใช้ของเว็บไซต์หรือไม่
เลขที่
"การแจ้งเตือนเบราว์เซอร์" การตรวจสอบสิทธิ์ HTTP พื้นฐาน มีคุณภาพการแลกใช้เพียงรายการเดียวและชื่อก็บอกทุกอย่างแล้ว เป็นแบบแผนการตรวจสอบสิทธิ์พื้นฐานที่สุดและเรียบง่ายที่สุดที่คุณสามารถใช้ได้
แต่ความเรียบง่ายนั้นไม่ได้ให้ความปลอดภัยที่ดี
ข้อบกพร่องหลายอย่างอยู่ภายใต้ประทุน AlexD กล่าวถึงมากที่สุดแล้ว คำตอบนี้ แต่มีบางอย่างที่ผู้ใช้ของคุณอาจสังเกตเห็น:
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
