Hallo!
Ich sitze an einem Projekt (AutoIt) für einen Webserver, über den eine lokale Anwendung gesteuert werden soll.
Für das Login habe ich schon die Authentifizierung mit Http-Auth Digest umgesetzt.
Nun stehe ich vor der Frage, wie ich die Komunikation absichern kann.
SSL setzt ein Zertifikat voraus, das um sicher zu sein, von einer der vertrauenswürdigen Zertifizierungsstellen stammen muss.
Das würde Kosten verursachen und die Beschaffung wäre für den normalen Nutzer mit relativ hohem Aufwand verbunden.
Ausserdem, was noch viel schwerer wiegt, ist die Komunikation über SSL alles andere als trivial.
Der genutze Mechanismus muss auf jeden Fall im Browser selbst implementiert sein, weil z.b. in Javascript implementierte Methoden durch die Übertragung des Codes über das Netz als kompromitiert anzusehen sind.
Eine Möglichkeit wäre es, für jeden Request, der sensible Daten enthält, eine neue Authentifizierung per Digest anzufordern, also jedes mal die Passworteingabe zu verlangen.
Eine elegantere Lösung wäre mir allerdings lieber. Gibt es Verfahren, die ohne Zertifikate auskommen und in den modernen Brwosern verfügbar sind?
freundl. Grüsse aus Berlin, Raik