Аутентификация
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
Если какие-то области веб-сайта должны быть доступны только некоторым клиентам или зарегистрированным пользователям, для подобного разграничения доступа потребуется метод проверки подлинности пользователей [10].
Существует несколько способов аутентификации пользователей: базовая аутентификация, дайджест-аутентификация и HTTPS.
При использовании базовой аутентификации имя пользователя и пароль включаются в состав веб-запроса. Даже если контент с ограниченным доступом не слишком важен, этот метод лучше не использовать, так как пользователь может применять один и тот же пароль на нескольких веб-сайтах. Опрос Sophos показал, что 41% пользователей применяют для всей своей деятельности в Интернете всего один пароль, будь то сайт банка или районный форум [11]. Старайтесь защищать пользователей от подобных ошибок, используя более безопасные методы аутентификации.
Дайджест-аутентификация, поддерживаемая всеми популярными серверами и браузерами, позволяет надежно шифровать имя пользователя и пароль в запросе. Она помогает обеспечить безопасность имен и паролей, что производит соответствующее впечатление на пользователей и снижает вероятность успешной атаки на сервер.
Протокол HTTPS позволяет шифровать все данные, передаваемые между браузером и сервером, а не только имена пользователей и пароли. Протокол HTTPS (основанный на системе безопасности SSL) следует использовать в случае, если пользователи должны вводить важные личные данные — адрес, номер кредитной карты или банковские сведения.
При выборе системы аутентификации рекомендуется использовать самый безопасный вариант из имеющихся в наличии. Другие варианты отпугнут клиентов, заботящихся о защите своих данных, и могут привести к возникновению излишнего риска для пользователей.