Zum Inhalt springen

Microsoft Basic Authentication - End of Life


Empfohlene Beiträge

Geschrieben

Moin,

 

derzeit wird Microsoft Basic Authentication für einen apache Webserver genutzt, da das Protokoll als Unsicher gilt wird der Support von Microsoft eingestellt.

Ich habe jetzt ein paar fragen

1. Ist Microsoft Basic Authentication das gleiche wie Basic HTTP Authentication

2. oAuth 2.0 sollte geeignet sein?! wie realisiere ich in der Praxis die Umstellung auf einem Apache (vlt. Link oder Anleitung)

3. gibt es weitere alternative Protokolle die den Zweck der MS Basic Authentication erfüllen?

 

Liebe Grüße

Geschrieben

Ich glaube du bringst da zwei Sachen durcheinander.

Meines Erachtens betrifft das Ende von Basic Auth vor allem den Betrieb von Office 365 im Moment. Ab Herbst(?) soll man sich nicht mehr in Office 365 anmelden können ohne oAuth2, das betrifft bspw. Mailpostfächer. Google macht wenn ich mich recht entsinne sowas schon bei Google Mail.

Nach meinem Kenntnisstand ist basic authentification in Apache eine .htaccess datei, in denen die Benutzerkennungen gespeichert sind. Man muss sich bewusst sein, dass diese Datei nicht abrufbar sein soll, da ansonsten Einsicht genommen werden kann in die Benutzerkennungen. Die Kennwörter sind Base64 codiert, damit nicht verschlüsselt.

Wenn die HTTP Verbindung unverschlüsselt, d.h. nicht als HTTPS, durchgeführt wird, dann werden die Passwörter in Klartext versendet. Das ist natürlich ein sicherheitstechnischer Totalausfall. Von daher Verbindungsversuche via unverschlüsseltes HTTP unterbinden, bspw. durch ein redirect auf die HTTPS Variante der Website.

Halten wir fest: HTTP Basic Authentification ist technisch nicht schön, für geringe Sicherheitsanforderungen aber ausreichend. Ich würde da meine Unternehmensgeheimnisse nicht hinter verstecken wollen. ;) Um neugierige Blicke abzuhalten aber in Ordnung.

Ein gesondertes Basic Authentification von Microsoft ist mir nicht bekannt. Das wäre dann auch eher eine Sonderlocke von deren eigenen Webserver?

Geschrieben

Bedeutet dass, man kann keine Mailclients mehr nutzen, sondern nur noch über HTTP auf Postfächer bei M$ zugreifen? Das wäre ja ganz schön absurd. Einfach mal E-Mail abschalten "wir machen jetzt nur noch HTTP".

Geschrieben

Microsoft kanns ja egal sein. Die verkaufen dir ja zum Office 365 auch ein Outlook mit dazu. Das kannste ja dann benutzen. Willste was anderes nehmen? Och schade, geht nur wenn die Entwickler das reingepatcht haben. Exchange ist ja gemacht um mit Outlook zu sprechen, nicht mit Thunderbird. ;)

Geschrieben

Wir haben in der Firma glaube ich kein 365 sondern nur unsere E-Mails dort. Outlook-Lizenzen sind da nicht mit dabei. Und ich nutze Thunderbird ganz normal über IMAP+SMTP. Outlook gibt's ja ohnehin nicht für Linux.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...