информация об окнах Basic Authentication
Оказывается, что проблемой была проблема брандмауэра. Wireshark не показал ничего полезного, потому что брандмауэр отбрасывал определенный пакет. Хотя я посмотрел на свои журналы брандмауэра довольно много раз, чтобы удостовериться, что это не имело место, оказывается, что я не смотрел в правильном месте. Я пропустил то, что этим 'tnameserv' был знающий IPv6 (поскольку он связывал с::: 23423), и поверхностный взгляд моего сценария брандмауэра показал, что я регистрировал связанные с IPv6 пакеты к другому местоположению, чем мои пакеты IPv4. Это не было контролем, но должно было быть сделано, потому что ip6tables в настоящее время не поддерживает-j ULOG цель.
Короче говоря, разрешение обратной петли для IPv6 устранило проблему и возвраты 'tnameserv', "Готовые" почти немедленно.
Да, Стандартная аутентификация отправляет пароли в простом тексте. Если Ваш веб-сайт работает на основе SSL, то это делает всю коммуникацию (включая Стандартную аутентификацию) безопасной.
Интегрированная аутентификация Windows просто относится к тому, что IIS проверит любые входящие комбинации имени пользователя/пароля по пользователям Windows (домен и или локальные пользователи), вместо того, чтобы проверить некоторое другое хранилище. Можно использовать интегрированную аутентификацию с основным (простой текст) или обзор (md5 хеш) стили передачи учетных данных. Последний более безопасен, потому что фактический пароль не передается.
Если Вы не выполняете интранет-сайт, где Ваши клиенты уже прошли проверку подлинности с тем же доменом Windows, я избегал бы использовать Интегрированную аутентификацию Windows.
Аутентификация приложения в основном означает, что Вы делаете аутентификацию сами в рамках Вашего сценария/веб-приложения. Это обычно включает сбор имени пользователя и пароля в нормальной форме HTML, проверка имени пользователя/пароля против Вашей базы данных и установки значения сессии, указывающего, что клиент аутентифицировался. Это - портативный подход, поскольку он не требует, чтобы любые пользователи Windows были настроены для Ваших клиентов. Формы входа в систему должны работать на основе SSL, поскольку формы передадут поле пароля в простом тексте.
Со Стандартной аутентификацией пользователь получает всплывающее окно браузера, спрашивающее от учетных данных, которые затем отправляются на сервер с помощью простого текста, поэтому если Вы не используете SSL, они могут быть получены.
С Интегрированной аутентификацией Windows браузер автоматически отправляет на сервер учетные данные, с которыми пользователь в настоящее время зарегистрирован на Windows; те учетные данные не отправляются с помощью простого текста, но это, конечно, только имеет смысл, если сервер и клиент находятся в том же домене.
Аутентификация приложения является (в основном) HTML-формой, которая отправлена с помощью запроса POST HTTP; это также использует простой текст, таким образом, это не безопасно, если не защищено с SSL.