我正在升级我们的svn服务器,想要改用Windows身份验证,而不是htpassword文件。我已安装模块,并可以在HTTP或HTTPS上运行。
使用TortoiseSVN访问 repos 时,有两种情况:
1. 当SSPI + HTTPS已设置时,自动登录并正常工作。 2. 当SSPI + HTTP已设置时,需要在TortoiseSVN中输入域用户名和密码进行登录,但这没问题,因为我可以要求TortoiseSVN记住我的凭据。
我的问题是:如果我使用SSPI + HTTP而不是SSPI + HTTPS,那么我的密码和用户名是否会被加密?
我问这个问题的原因是我们在局域网中,永远无法从外部访问,而SSL则会使一切变得缓慢。所以我宁愿使用HTTP + SSPI。
我使用WireShark在网络上搜索了我的密码,但没有成功,这意味着凭据确实被加密了。我只能找到一行看起来像我的用户+密码的行,类似于: Authorization: Basic Yh2_3 m%erTo_d4fre 如果有人能为我澄清这一点,或者最好链接我到一个位置,说明在使用SSPI + HTTP时密码是加密的,我将非常感激。
编辑:我误解了某些非常重要的事情。请验证我是否正确:
当启用SSPI + HTTP时访问svn,实际上意味着SSPI被禁用,我在访问时使用Basic Auth,因为SSPI需要SSL。这意味着我的用户名和密码只具有轻微的Basic Auth加密,不像SSL加密。
SSPI模块唯一涉及的地方是从Basic Auth接收用户名+密码,然后使用这些信息针对域进行用户验证(当然是以安全的方式)。
使用TortoiseSVN访问 repos 时,有两种情况:
1. 当SSPI + HTTPS已设置时,自动登录并正常工作。 2. 当SSPI + HTTP已设置时,需要在TortoiseSVN中输入域用户名和密码进行登录,但这没问题,因为我可以要求TortoiseSVN记住我的凭据。
我的问题是:如果我使用SSPI + HTTP而不是SSPI + HTTPS,那么我的密码和用户名是否会被加密?
我问这个问题的原因是我们在局域网中,永远无法从外部访问,而SSL则会使一切变得缓慢。所以我宁愿使用HTTP + SSPI。
我使用WireShark在网络上搜索了我的密码,但没有成功,这意味着凭据确实被加密了。我只能找到一行看起来像我的用户+密码的行,类似于: Authorization: Basic Yh2_3 m%erTo_d4fre 如果有人能为我澄清这一点,或者最好链接我到一个位置,说明在使用SSPI + HTTP时密码是加密的,我将非常感激。
编辑:我误解了某些非常重要的事情。请验证我是否正确:
当启用SSPI + HTTP时访问svn,实际上意味着SSPI被禁用,我在访问时使用Basic Auth,因为SSPI需要SSL。这意味着我的用户名和密码只具有轻微的Basic Auth加密,不像SSL加密。
SSPI模块唯一涉及的地方是从Basic Auth接收用户名+密码,然后使用这些信息针对域进行用户验证(当然是以安全的方式)。
我再次阅读文档时得出以下结论,能否有人验证我的理解是否正确?
谢谢
Garrett