使用SSPI模块HTTP与HTTPS的Subversion

Question

我正在升级我们的svn服务器，希望更改为windows身份验证，而不是htpassword文件。我已经安装了这个模块，可以让它在、HTTP、或HTTPS上运行。

使用TortoiseSVN访问repos，有两个场景：

1. 当SSPI + HTTPS设置时访问。登录是自动的，并且工作起来很有魅力:)
2. 在设置SSPI + HTTP时访问。登录需要我在TortoiseSVN中输入我的域名用户名和密码，这是可以的，因为我可以要求TortoiseSVN记住我的凭据。

我的问题是： 如果我使用SSPI + HTTP而不是SSPI + HTTPS，那么我的密码和用户名是加密的吗？

我要问的原因是，我们是在局域网上，永远无法从外部访问，而SSL太过分了，因为它使一切变得很慢:S，所以我更喜欢使用HTTP + SSPI。

我使用WireShark在网络上搜索我的密码，没有运气，这意味着凭证确实是加密的:)。只能找到一个行，我怀疑它是我的user+pass，它看起来像这样:授权: Basic Yh2_3 m%erTo_d4fre

如果有人可以为我或清除这些密码，更好地将其链接到一个声明密码在使用SSPI + HTTP__时加密的位置，我将非常感激:)。

亲切问候加勒特

**********************EDIT__**********************

看来我弄错了一些很重要的东西。请核实我是否正确:)：

启用SSPI+HTTP时访问svn，这实际上意味着SSPI被禁用，而我在访问时使用基本Auth，因为SSPI 需要 SSL。这意味着我的用户名和密码只有温和的基本加密，不像SSL加密.。 SSPI模块进入图片的唯一地方是它从Basic接收username+pass，然后使用这些来根据域验证用户(当然是以安全的方式？？)。

这是我在再次阅读文档时可以扣除的内容。有人能证实我说得对吗？

亲切的问候

加勒特

Answer 1

更新：Subversion 1.8.0中更改的行为:现在，如果服务器支持Subversion客户端，则使用SPNEGO/NTLM协议自动进行身份验证。也就是说，http-auth-types配置选项的默认值是negotiate;ntlm;basic

默认情况下，Subversion网络库仅用于HTTPS连接。

引用VisualSVN Server KB文章，适用于任何Subversion客户机/服务器：http://www.visualsvn.com/support/topic/00040/

为了防止窃听者和中间人攻击，不建议在不安全的HTTP协议上使用NTLM/NTLM身份验证。这就是为什么默认情况下禁用此选项的原因。 但是，如果被迫使用HTTP协议，则可以手动重新配置Subversion客户端。可以使用http-auth-types Subversion配置选项启用对HTTP协议的NTLM/NTLM身份验证。此选项的默认值为“http-auth-type= basic”。为了允许NTLM/ this身份验证，您应该将此值更改为“http=basic；this”。

本文还对如何更改Subversion配置进行了逐步的说明.