¿Quién es el Guardián de la Puerta?

4

Si usa seguridad básica bajo una conexión SSL (https), no es cierto que el servidor coincida con la combinación de usuario / contraseña, pero ¿qué sucede después de eso? ¿Qué impide que el navegador acceda al servidor? ¿El navegador entra en un estado "autenticado", lo que le permite acceder al servidor? O, ¿el servidor de alguna manera ofrece un canal diferente al navegador, una vez autenticado?

Le pregunto esto porque si alguna de las responsabilidades de autenticación se confía al navegador, entonces, ¿qué pasa si tenemos un navegador renegado / pervertido que no sigue las reglas? Posiblemente, un navegador modificado podría involucrarte en cualquier cosa al omitir la autenticación final. Me pregunto qué hay en el lado del servidor que determina si un usuario está "autenticado" y qué cambios permiten que se realicen transacciones http.

Tenga en cuenta que esto supone que el usuario / contraseña se ha transmitido de forma segura mediante ssl, pero cuestiona la fiabilidad del navegador si es el agente de autenticación.

En otras palabras, ¿quién es el controlador de acceso (es decir, el que puede denegar el acceso): el servidor o el navegador? Si es el servidor, ¿se pasan las credenciales o algún tipo de clave de autenticación en cada transacción independiente? O, si es el navegador, ¿es el servidor vulnerable a un navegador "profligate" (por ejemplo, uno que ha sido modificado) que puede permitir el acceso sin autenticación?

¿Alguien puede arrojar algo de luz sobre esto?

    
pregunta Dave Retz 20.05.2017 - 08:23
fuente

1 respuesta

3

Con la autenticación básica, el nombre de usuario y la contraseña se envían con cada solicitud HTTP al servidor. Sin embargo, el navegador no le preguntará una y otra vez por cada solicitud, ya que simplemente utiliza las mismas credenciales que ya ha ingresado siempre que la autenticación sea exitosa.

Esto es similar si le das a alguien la llave de tu casa. Usted da la clave una vez y la persona (navegador) la usará siempre para abrir la puerta (es decir, autorizar contra el servidor). Solo si cambias el bloqueo (es decir, cambias la contraseña o algo similar) la clave original ya no funcionará y la persona necesita una nueva. La persona no ingresa a un estado autorizado de ninguna manera, es solo que la persona tiene la clave que coincide con la cerradura.

EDITAR: ya que el comentario mostró que no estaba completamente claro. El servidor nunca confía en el navegador a menos que pueda proporcionar las credenciales de autenticación. Por lo tanto no ayudará a modificar el navegador. Esto es lo mismo con la cerradura de la puerta: nunca se abrirá solo para una persona, sin importar cómo se vea esta persona. En su lugar, la cerradura solo se abrirá para la persona que tiene y utiliza la clave correcta.

    
respondido por el Steffen Ullrich 20.05.2017 - 09:03
fuente

Lea otras preguntas en las etiquetas