Учетные данные для обычной проверки подлинности HTTP, переданные в URL и шифровании
у меня есть вопрос о учетных данных аутентификации HTTPS и HTTP.
предположим, что я защищаю URL с аутентификацией HTTP:
<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>
затем я получаю доступ к этому URL из удаленной системы через HTTPS, передавая учетные данные в URL:
https://gooduser:[email protected]/webcallback?foo=bar
будут ли имя пользователя и пароль автоматически зашифрованы SSL? Это же верно и для GET и POST? Мне трудно найти надежный источник с этой информацией.
3 ответов:
будут ли имя пользователя и пароль автоматически зашифрованы SSL? Это же верно и для GET и POST
Да, да, да.
вся связь (за исключением поиска DNS, если IP для имени хоста еще не кэширован) шифруется при использовании SSL.
Да, он будет зашифрован.
вы поймете это, если просто проверите, что происходит за кулисами.
- браузер или приложение сначала сломает URL-адрес и попытается получить IP-адрес хоста с помощью DNS-запроса. ie: DNS-запрос будет сделан, чтобы найти IP-адрес домена (www.example.com обратите внимание, что никакая другая информация не будет отправлена по этому запросу.
- браузер или приложение инициирует SSL-соединение с IP-адресом, полученным из DNS-запроса. Сертификаты будут обменены, и это происходит на транспортном уровне. На этом этапе информация о прикладном уровне передаваться не будет. Помните, что обычная проверка подлинности является частью HTTP, а HTTP-это протокол уровня приложения. не задача транспортного уровня.
- после установления SSL соединения, теперь необходимые данные будут переданы на сервер. ie: путь или URL, параметры и обычная проверка подлинности имя пользователя и пароль.
Не обязательно верно. Он будет зашифрован на проводе, однако он все еще приземляется в журналах обычного текста
Comments