Moin,

 

derzeit wird Microsoft Basic Authentication für einen apache Webserver genutzt, da das Protokoll als Unsicher gilt wird der Support von Microsoft eingestellt.

Ich habe jetzt ein paar fragen

1. Ist Microsoft Basic Authentication das gleiche wie Basic HTTP Authentication

2. oAuth 2.0 sollte geeignet sein?! wie realisiere ich in der Praxis die Umstellung auf einem Apache (vlt. Link oder Anleitung)

3. gibt es weitere alternative Protokolle die den Zweck der MS Basic Authentication erfüllen?

 

Liebe Grüße

Ich glaube du bringst da zwei Sachen durcheinander.

Meines Erachtens betrifft das Ende von Basic Auth vor allem den Betrieb von Office 365 im Moment. Ab Herbst(?) soll man sich nicht mehr in Office 365 anmelden können ohne oAuth2, das betrifft bspw. Mailpostfächer. Google macht wenn ich mich recht entsinne sowas schon bei Google Mail.

Nach meinem Kenntnisstand ist basic authentification in Apache eine .htaccess datei, in denen die Benutzerkennungen gespeichert sind. Man muss sich bewusst sein, dass diese Datei nicht abrufbar sein soll, da ansonsten Einsicht genommen werden kann in die Benutzerkennungen. Die Kennwörter sind Base64 codiert, damit nicht verschlüsselt.

Wenn die HTTP Verbindung unverschlüsselt, d.h. nicht als HTTPS, durchgeführt wird, dann werden die Passwörter in Klartext versendet. Das ist natürlich ein sicherheitstechnischer Totalausfall. Von daher Verbindungsversuche via unverschlüsseltes HTTP unterbinden, bspw. durch ein redirect auf die HTTPS Variante der Website.

Halten wir fest: HTTP Basic Authentification ist technisch nicht schön, für geringe Sicherheitsanforderungen aber ausreichend. Ich würde da meine Unternehmensgeheimnisse nicht hinter verstecken wollen.  Um neugierige Blicke abzuhalten aber in Ordnung.

Ein gesondertes Basic Authentification von Microsoft ist mir nicht bekannt. Das wäre dann auch eher eine Sonderlocke von deren eigenen Webserver?

Bedeutet dass, man kann keine Mailclients mehr nutzen, sondern nur noch über HTTP auf Postfächer bei M$ zugreifen? Das wäre ja ganz schön absurd. Einfach mal E-Mail abschalten "wir machen jetzt nur noch HTTP".

Microsoft kanns ja egal sein. Die verkaufen dir ja zum Office 365 auch ein Outlook mit dazu. Das kannste ja dann benutzen. Willste was anderes nehmen? Och schade, geht nur wenn die Entwickler das reingepatcht haben. Exchange ist ja gemacht um mit Outlook zu sprechen, nicht mit Thunderbird.

Wir haben in der Firma glaube ich kein 365 sondern nur unsere E-Mails dort. Outlook-Lizenzen sind da nicht mit dabei. Und ich nutze Thunderbird ganz normal über IMAP+SMTP. Outlook gibt's ja ohnehin nicht für Linux.