HTTPS и BASIC аутентификация
Когда я использую аутентификацию HTTP BASIC вместе с HTTPS, безопасно ли передаются имя пользователя и пароль на сервер?
Я был бы рад, если бы вы могли помочь мне с некоторыми ссылками.
Я имею в виду, было бы здорово, если бы я мог ссылаться на вопросы и ответы Stackru в качестве ссылки, скажем, в заданиях, отчетах, экзаменах или даже в техническом документе. Но я думаю, что я еще не там.
4 ответа
Да. если вы используете https, разговор с веб-сервером полностью зашифрован.
Базовая аутентификация HTTP и HTTPS - это разные понятия.
- В HTTP Basic Authentication имя пользователя и пароль отправляются открытым текстом (в HTTP Digest Authorization пароль отправляется в base64, закодированном с использованием алгоритма MD5)
- Принимая во внимание, что HTTPS - совершенно другая функциональность, здесь полное сообщение зашифровано на основе ключей и сертификата SSL.
Обратите внимание: между авторизацией и безопасностью есть разница. HTTP Basic авторизация - это концепция авторизации, а не безопасность
ДА. В вашем случае HTTP-сообщение с именем пользователя и паролем будет зашифровано и затем отправлено на сервер.
Да, они передаются надежно... если хакер может расшифровать вашу транзакцию https, он наверняка сможет расшифровать пользователя base64: пароль...
Я знаю, что чем больше камней вы поставите, тем труднее это сделать... но base64 не по соображениям безопасности
Если такой инструмент, как Fiddler, установлен в вашей локальной системе, его можно использовать для пересылки ваших https-расшифровок третьей стороне. Если кто-то настроил это для этого, он уже владеет вашей системой (либо имеет физический доступ, либо полный /root-доступ).