Возможные причины Base64encode пароля в запросе HTTPS

Question

Некоторое время назад я зашел на этот сайт высококлассного универмага (через HTTPS), и когда я вошел в систему, я заметил, что данные формы, отправляемые в запросе, не содержат мой простой текстовый пароль, но Base64 кодированный вариант.

Чтобы уточнить, вот данные отправки формы (с поддельными учетными данными):

email: johndoe%40gmail.com
password: aGVsbG9fd29ybGQ=

Теперь я немного запутался, почему в запросе закодировано base64. И это также заставило меня усомниться в том, что то, что я делал на своем собственном веб-сайте, было действительно безопасным (отправка простого текста через HTTPS). Я думал, что почти все будет зашифровано в запросе, подобном этому, при отправке его по HTTPS, так какой смысл в кодировании base64 заранее?

Может быть, я просто переосмыслил это, и они кодируют его по причинам, не связанным с безопасностью. Тем не менее остается вопрос, что могло бы послужить причиной для кодирования base64 пароля в запросе?

Answer 1

base64 ничего не делает для улучшения безопасности.Единственная причина, по которой я вижу кодирование пароля в base64, - это удаление символов, которые как-то небезопасно для включения во время запроса.

Либо так, либо рассматриваемый веб-сайт буквально использует base64 в качестве «шифрования».Вы будете удивлены тем, как много крупных компаний используют ужасные методы обеспечения безопасности: https://plaintextoffenders.com/

Чтобы было ясно: обычный текст и base64 - это практически одно и то же.Вы не делаете ничего плохого, отправляя пароль открытым текстом через безопасное соединение.