クライアント側で要求されたパスワードが常に認証サーバー(AD/LSA)に安全に(暗号化されて)転送されるという前提で、IIS内のWebアプリケーションで常に統合セキュリティを有効にしています。私は私の前提を訂正していますか?私はいつもこれを仮定してきたのですが、私はいつもクライアントの&サーバは、パスワードが常に暗号化されている認証のためにNTLMまたはKerberosを使用するADでWindowsクライアントを認証するのと非常に似ていると考えています。IIS内で統合セキュリティが有効になっている場合、Webアプリケーションはログイン時にパスワードを暗号化しますか?
答えて
いいえ。パスワードは、認証が実行されたときにドメインコントローラに送信されることさえありません。 challenge/response type algorithmが発生し、これを行う必要がなくなり、パスワードを渡すよりもはるかに安全です。
これはおそらくServerFaultに関するより良い質問ですが、パスワードにBasic Authを使用せず、NTLMを使用している場合、パスワードの送信は暗号化されます。 (IEでのみ動作します)。
NTLMは、Webアプリケーションのディレクトリセキュリティタブの認証とアクセス制御オプションで統合されたWindows認証オプションを参照したいと考えています。しかし、なぜそれがIEのためにのみ動作すると言うのですか? FireFox経由でも問題なく認証されます。 – msvcyc
私は多分古い情報に取り組んでいます。 FirefoxはIISでNTLM認証タイプをサポートしていませんでした。 –
- 1. IISがWebページを暗号化していない場合、SSLとは何ですか?
- 2. Curlはスニッファが有効な場合にのみ機能します - 暗号化された応答内容
- 3. データがわかっている場合に暗号化キーを取得する
- 4. 統合テスト中にGrails Jasyptプラグインの暗号化を無効にするには?
- 5. javascriptが有効になっている場合、jqGridをダウングレードできますか?
- 6. ADB統合を有効にしないでデバッグするには
- 7. 他のプロファイルが有効になっていない場合は、Mavenプロファイルを有効にしてください。
- 8. 暗号化されたパスワードのセキュリティ
- 9. ブラウザでjavascriptが有効になっていない場合にメッセージを表示
- 10. C#でJavaでAES暗号化ファイルを復号する場合
- 11. ログイン中のパスワードの暗号化
- 12. スタティックブロックが有効になっている場合、カテゴリー見出しを隠す(magento)
- 13. Rails 3モデルは有効ではない場合に有効
- 14. Webアプリケーションを統合するには
- 15. 統合パイプラインを使用してIISにASP.Net Webアプリケーションを展開する
- 16. Webサイトのセキュリティ統合またはWebセキュリティに関する考え方
- 17. Gmailのヘルプが必要な場合アプリケーションに統合する
- 18. モデルが有効でない場合、エラーメッセージ
- 19. IMアプリケーションとOutlook 2013の統合、連絡先カードでユーザーのプレゼンスが有効になっていない
- 20. wmiが有効になっている場合、WCFは何をログに記録しますか?
- 21. MD5テーブル内のすべてのパスワードを暗号化します
- 22. 暗号化/復号化 - iphone to java - BadPaddingException:最終ブロックが適切に埋められていない場合
- 23. OpenAM:RESTFUL API - 暗号化/暗号化パスワード
- 24. パスワードを暗号化する
- 25. 暗号化されたURLを統合テストする方法
- 26. 実際に有効なときにパスワードが無効であると言う場合があります
- 27. Javaですべての暗号スイートがデフォルトで有効になっているのはなぜですか?
- 28. ユーザーがHapi.jsでログインしている場合にログインルートを無効にする
- 29. 変更ボタン背景が有効になっていない場合
- 30. 出力キャッシュが既にページレベルで有効になっている場合のWebユーザーコントロールの出力キャッシング
ドメインコントローラに送信されていないとはどういう意味ですか?ログインダイアログで任意のドメイン/ローカルユーザーとしてログインできます。また、AD/LSAが認証されていない場合は、誰が認証を行っていると思いますか? – msvcyc
これは認証していますが、パスワードを送信していません。パスワードを知っていれば計算できる値を送信しています。パスワードを知っていることを証明する必要があります。パスワードを知っていることを証明するためにパスワードを送信する必要はありません。 –