如果客户端通过http(而不是https)访问windows服务器上的文件,并在浏览器中使用集成Windows身份validation进行身份validation,密码的安全性如何?
它是否以明文forms发送?
使用集成安全性密码不是通过networking发送的,这使得它比“基本”或“摘要”更好。 有一些需要了解的警告,比如浏览器支持,外部authentication,授权等。
看一看这篇文章 ,了解集成安全性和需要记住的事情。 在身份validation方法部分查看集成安全性。
从文章:
集成Windows身份validation(使用NTLM质询/响应或Kerberos)涉及使用Windows NT域或Active Directory帐户对用户进行身份validation。 与基本和摘要authentication不同,encryption的密码不通过networking发送,这使得这种方法非常安全。 如果服务器上安装了Active Directory服务,并且浏览器与Kerberos V5身份validation协议兼容,则将使用Kerberos V5协议和质询/响应协议; 否则只使用质询/响应协议。 它最适合用于Intranet环境,其中用户和Web服务器计算机位于同一个域中,并且pipe理员可以确保每台计算机都运行Microsoft Internet Explorer 3.01或更高版本。