Leí un montón de artículos que indican que autenticación básica + SSL es la forma de revisar Autenticación resumida .
Estaba pensando en:
Con mi comprensión y lectura básicas, lo veo más seguro porque agrego un nivel de seguridad en caso de que se rompa el SSL. ¿O no lo es?
Esto no protege contra una violación de SSL. Si un atacante puede violar la conexión SSL, puede leer tanto el envío directo desde el servidor como la contraseña cifrada y, por lo tanto, puede descifrar la contraseña. Incluso si no está cifrado, sino que está marcado junto con el nonce (como se hace normalmente en la autenticación de resumen), el atacante podría simplemente reemplazar la secuencia de comandos utilizada para cifrar la contraseña, ya que el servidor envía esta secuencia de comandos también dentro de la conexión SSL dañada. / p>
Además de no proteger contra una violación de SSL, esta propuesta (y también la autenticación implícita) también necesita que la contraseña se almacene en texto sin cifrar (o equivalente) en el servidor para su comparación. En realidad, esto hace que el sistema sea menos seguro en el caso de un pirateo del servidor que los sistemas habituales en los que la contraseña se almacena como un hash de una sola vía.
Lea otras preguntas en las etiquetas authentication tls