Базовые аутентификационные данные HTTP, переданные по URL-адресу и шифрованию

У меня вопрос о полномочиях HTTPS и HTTP Authentication.

Предположим, что я защищаю URL с HTTP-аутентификацией:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Затем я получаю доступ к этому URL-адресу из удаленной системы через HTTPS, передавая учетные данные в URL-адресе:

https://gooduser:[email protected]/webcallback?foo=bar

Будет ли имя пользователя и пароль автоматически зашифрованы SSL? То же самое верно для GET и POST? Мне трудно найти надежный источник с этой информацией.

Ответ 1

Будет ли имя пользователя и пароль автоматически зашифрованы SSL? То же самое верно для GET и POST

Да, да, да.

Вся связь (за исключением поиска DNS, если IP для имени хоста еще не кэширована) зашифровывается, когда используется SSL.

Ответ 2

Да, он будет зашифрован.

Вы поймете это, если вы просто проверите, что происходит за кулисами.

Браузер или приложение сначала разбивают URL-адрес и пытаются получить IP-адрес хоста с помощью DNS-запроса. т.е.: Будет выполнен запрос DNS, чтобы найти IP-адрес домена (www.example.com). Обратите внимание, что никакая другая информация не будет отправлена через этот запрос.
Браузер или приложение инициируют SSL-соединение с IP-адресом, полученным от запроса DNS. Сертификаты будут обменяться, и это произойдет на транспортном уровне. На данный момент информация об уровне приложения не будет передана. Помните, что базовая аутентификация является частью протокола HTTP, а HTTP - протоколом уровня приложения. Не задача транспортного уровня.
После установления соединения SSL теперь необходимые данные будут переданы серверу. т.е.: путь или URL-адрес, параметры и базовое имя и пароль для аутентификации.

Ответ 3

Не обязательно верно. Он будет зашифрован на проводе, однако он по-прежнему приземляется в обычном тексте журналов