HTTPS и BASIC аутентификация

Question

Когда я использую HTTP BASIC аутентификацию вместе с HTTPS , безопасно ли передаются имя пользователя и пароль на сервер?

Буду рад, если вы поможетеменя с некоторыми ссылками.

Я имею в виду, было бы здорово, если бы я мог ссылаться на вопросы и ответы StackOverflow в качестве ссылки, скажем, в заданиях, отчетах, экзаменах или даже в техническом документе.Но я думаю, что я еще не там.

Answer 1

да. Если вы используете https, разговор с веб-сервером полностью зашифрован.

Answer 2

Да, они передаются безопасным образом ... если хакер может расшифровать вашу https-транзакцию, он наверняка сможет расшифровать пользователя base64: пароль ...

Я знаю, что чем больше камней вы поставите, тем сложнее это займет... но base64 не по соображениям безопасности

Answer 3

Базовая аутентификация HTTP и HTTPS - это разные понятия.

• В HTTP Basic Authentication имя пользователя и пароль отправляются в виде открытого текста (В HTTP Digest Авторизация пароль отправляется в base64, закодированном с использованием алгоритма MD5)
• Принимая во внимание, что HTTPS - совершенно другая функциональность, здесь полное сообщение зашифровано на основе ключей и сертификата SSL.

Обратите внимание: между авторизацией и безопасностью есть разница. HTTP Basic авторизация - это концепция авторизации, а не безопасность

ДА. В вашем случае HTTP-сообщение с именем пользователя и паролем будет зашифровано и затем отправлено на сервер.

Answer 4

Если в вашей локальной системе установлен такой инструмент, как Fiddler, его можно использовать для пересылки ваших https-расшифровок третьим лицам.Если кто-то настроил это для этого, он уже владеет вашей системой (либо имеет физический доступ, либо полный / root-доступ).