Si la negociación DIGEST-MD5 se realiza a través de una conexión HTTPS en lugar de HTTP, ¿eso evita esta lista de desventajas de Wikipedia ?:
La autenticación de acceso implícita está pensada como un compromiso de seguridad. Está destinado a reemplazar la autenticación de acceso básico HTTP sin cifrar. Sin embargo, no pretende reemplazar los protocolos de autenticación fuertes, como la clave pública o la autenticación Kerberos.
En términos de seguridad, hay varios inconvenientes con la autenticación de acceso de resumen:
Muchas de las opciones de seguridad en RFC 2617 son opcionales. Si el servidor no especifica la calidad de protección (qop), el cliente operará en un modo RFC 2069 heredado de seguridad reducida.
La autenticación de acceso implícita es vulnerable a un ataque Man-in-the-middle (MitM). Por ejemplo, un atacante MitM podría decirle a los clientes que utilicen la autenticación de acceso básico o el modo de autenticación de acceso implícito RFC2069 heredado. Para ampliar esto, la autenticación de acceso de resumen no proporciona ningún mecanismo para que los clientes verifiquen la identidad del servidor.
Algunos servidores requieren que las contraseñas se almacenen utilizando un cifrado reversible. Sin embargo, es posible almacenar el valor digerido del nombre de usuario, el dominio y la contraseña. [2]
Similar a: ¿Es BASIC-Auth seguro si se realiza a través de HTTPS?