Учетные данные HTTP Basic Authentication передаются в URL и шифровании

Question

У меня вопрос по учетным данным для аутентификации HTTPS и HTTP.

Предположим, я защищаю URL-адрес с помощью аутентификации HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Затем я получаю доступ к этому URL из удаленной системы через HTTPS, передавая учетные данные в URL:

https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

Будет ли имя пользователя и пароль автоматически шифроваться по протоколу SSL? То же самое верно для GET и POST? Мне трудно найти достоверный источник с этой информацией.

Answer 1

Будет ли имя пользователя и пароль автоматически шифроваться по протоколу SSL? То же самое верно для GET и POST

Да, да, да.

Вся связь (за исключением поиска DNS, если IP-адрес для имени хоста еще не кэширован) зашифрована, когда используется SSL.

Answer 2

Да, он будет зашифрован.

Вы поймете это, если просто посмотрите, что происходит за кулисами.

1. Браузер или приложение сначала разбивают URL-адрес и пытаются получить IP-адрес хоста с помощью DNS-запроса. То есть: будет сделан DNS-запрос для определения IP-адреса домена (www.example.com). Обратите внимание, что никакая другая информация не будет отправлена ​​через этот запрос.
2. Браузер или приложение установят соединение SSL с IP-адресом, полученным из запроса DNS. Сертификаты будут обменены, и это происходит на транспортном уровне. На этом этапе никакая информация уровня приложения не будет передана. Помните, что базовая аутентификация является частью HTTP, а HTTP является протоколом прикладного уровня. Не задача транспортного уровня.
3. После установления SSL-соединения теперь необходимые данные будут передаваться на сервер. т.е.: путь или URL, параметры и имя пользователя и пароль для базовой аутентификации.

Answer 3

Не обязательно верно. Он будет зашифрован на проводе, однако в журналах он все еще будет отображаться в виде простого текста