2011/02/13

Basic認証と Digest認証

ブラウザでアクセスした時のネットワークをモニタリングしてみましょう。
使うのは「 WireShark 」です。


あ、ちなみに


Basic認証
Basic認証では、ユーザ名とパスワードの組みをコロン ":" で繋ぎ、Base64でエンコードして送信する。このため、盗聴や改竄が簡単であるという欠点を持つが、ほぼ全てのWebサーバおよびブラウザで対応しているため、広く使われている。
Digest認証
Digest認証(ダイジェストにんしょう)とは、HTTPの認証方法の一つ。ユーザ名とパスワードをMD5でハッシュ(ダイジェスト)化して送る。Basic認証では防げなかった盗聴や改竄を防ぐために考案された
Basic認証は「盗聴や改竄が簡単」
Digest認証は「盗聴や改竄を防ぐ」
とのことです。

いろいろ割愛。

Basic認証のときはこんなの。



Digest認証のときはこんなの。




Basic認証バレバレですね。
Digest認証はさっぱりわかりませんね。

意外に簡単にDigest認証導入できる
(apt-get でいれた Apache2 なら a2enmod auth_digest で入ります。)
ので、この際Basic認証はやめてDigest認証にしましょうよ。っていうおはなしでした。

IE6?
もう使うのやめようよ。。。
(IE6で Digest認証のバグがあるようです。)