¿Cuáles son las posibles fallas con el uso de la autenticación básica HTTP sobre SSL para la autenticación, y que solo requieren un usuario sin contraseña?

Si está utilizando SSL de 2 vías : el usuario / cliente se autenticará mediante un certificado de cliente. Esta autenticación se realiza en la capa de transporte. En la capa de aplicación, solo está proporcionando un nombre de usuario como identidad. La autenticación de la capa de transporte se considera una forma muy confiable de autenticación.
Si está utilizando SSL de 1 vía :

El cliente se autentica en el servidor a través de un certificado : esta solución es equivalente a una discutida anteriormente desde una perspectiva de autenticación. En este escenario, un servidor no autorizado puede asumir la identidad de un servidor válido y engañar al cliente para que envíe su información.
El servidor se autentica en el Cliente a través de un certificado : en este caso, el cliente no se autenticará en absoluto. El nombre de usuario proporcionado solo proporcionará la identidad del cliente al servidor, pero el cliente no se autenticará. (Considere abrir el sitio web de la Banca por Internet de su Banco e iniciar sesión con su nombre de usuario).

Fuera de los escenarios anteriores, te sugiero que elijas el primero. Esto le dará la capacidad de no mantener contraseñas, sin embargo, pueden ser desafíos operativos para la adquisición, distribución y revocación de certificados de clientes.

¿Está el presidente Obama "cediendo el control de Internet"?

¿Quién tendría que asumir los costos si Internet fuera gratis para todos?

Internet tiene 2 lados, uno en el que las personas trabajan y ganan, y otro en el que las personas pierden el tiempo. ¿Cómo puedo cambiar mi lado de perder el tiempo a ganar dinero?

¿Cuánto costaría reemplazar por completo la infraestructura que es la columna vertebral de Internet?

¿Cuáles son los buenos algoritmos mentales para generar contraseñas seguras?

¿Es posible reducir la velocidad de Internet en computadoras seleccionadas en el mismo hogar (con la misma conexión)?

Además, en términos de seguridad, solo está reemplazando la autenticación del cliente de la autenticación basada en certificados a la autenticación básica HTTP. Una concepción errónea común de “SSL unidireccional” es que la carga útil cifrada solo se realiza en un sentido. En realidad, el término más apropiado es “autenticación de certificado unidireccional”. El túnel TLS / SSL todavía está completo en ambos sentidos, pero usted elige una forma diferente de autenticar clientes. La mayoría de las aplicaciones de banca electrónica y EFT funcionan de esta manera.

William Emmanuel Yu

Supongo que esto es SSL “unidireccional” donde el servidor no verifica el certificado del cliente. Las credenciales pueden ser fáciles de adivinar. Si no hay límite de velocidad, un bot puede forzar el servidor http con solicitudes.

Sin embargo, tenga en cuenta que la autenticación básica HTTP en realidad no tiene un nombre de usuario y contraseña separados. Agrega los dos con dos puntos en el medio y hace la codificación base64. Por lo tanto, un nombre de usuario duro sin contraseña puede ser difícil de adivinar.

William Emmanuel Yu

More Interesting

¿Son reales estas monedas palestinas o una de las imágenes falsas en Internet?

¿El Internet de las cosas (IoT) es actualmente una de las áreas de investigación más populares?

¿Por qué las compañías de cable no ofrecen un servicio de Internet garantizado por más dinero, como hacen las compañías telefónicas con T1?

¿Cuáles son las principales dificultades asociadas con un potencial "Hulu Plus"?

Cómo evitar que mi Mac se conecte a Internet si ExpressVPN no está activo

¿Cómo lleva a cabo Estonia las elecciones por internet?

¿Cuáles son tus YTP favoritos?

¿Digital India tendrá éxito?

¿A qué personas en Internet debo seguir si estoy interesado en archivar todo en Internet?

¿Cuáles son los principales problemas y soluciones de seguridad para las aplicaciones móviles empresariales?