Gibt es ein Authentifizierungsprotokoll, das auf einem unsicheren Kanal sicher ist? Session-IDs werden leicht von MitM gekapert, also welche Mechanismen werden verwendet, um die Sitzung auf einem ungesicherten HTTP-Kanal sicher zu machen?Welche Authentifizierungsmethoden sind auf einem ungesicherten HTTP-Kanal sicher?
Die Authentifizierung gegen einen Server über HTTP ist problematisch, da Sie ohne ein Serverzertifikat nicht sicher sein können, dass Sie tatsächlich mit dem gewünschten Server kommunizieren. Außerdem sind alle Anmeldeinformationen, die an den Server gesendet werden, anfällig für das Abhören.
Allerdings gibt es Authentifizierungsprotokolle, die sicher über HTTP verwendet werden können, nachdem der Server und der Client ein Geheimnis über einen sicheren Kanal ausgetauscht haben. Protokolle wie Hawk oder AWS signatures benötigen für jede weitere Anforderung kein HTTPS.
Ich vermute, dass _unsecured HTTP channel_ ist ein Kanal ohne SSL? Also gibt es keine solchen Methoden. – Opal