HTTPS и аутентификация BASIC

Когда я использую HTTP BASIC аутентификацию вместе с HTTPS, безопасно ли передаются имя пользователя и пароль на сервер?

Я был бы рад, если бы вы могли помочь мне с некоторыми рекомендациями.

Я имею в виду, было бы здорово, если бы я мог ссылаться на StackOverflow Q & A как ссылку, например, на задания, отчеты, экзамены или даже на технический документ. Но я думаю, что я еще не там.

ОТВЕТЫ

Ответ 1

да. если вы используете https, разговор с веб-сервером полностью зашифрован.

Ответ 2

Базовая аутентификация HTTP и HTTPS - это разные концепции.

  • В HTTP-аутентификации имя пользователя и пароль отправляются в ясном тексте (в поле "Дайдж-код HTTP" пароль авторизации отправляется в base64, закодированном с использованием алгоритма MD5)
  • В то время как HTTPS - это совершенно разные функции, здесь полное сообщение зашифровывается на основе ключей и сертификата SSL.

Обратите внимание: разница между авторизацией и безопасностью. HTTP Основная авторизация - это концепция авторизации, это не безопасность

ДА. В вашем случае HTTP-сообщение с именем пользователя и паролем будет зашифровано, а затем отправлено на сервер.

Ответ 3

Да, они прошли безопасно... если хакер может расшифровать вашу транзакцию https, он наверняка расшифрует пользователя base64: пароль...

Я знаю, что чем больше камней вы кладете, тем сложнее... но base64 не по соображениям безопасности

Ответ 4

Если в локальной системе установлен такой инструмент, как Fiddler, его можно использовать для пересылки ваших https-передач, дешифрованных третьим лицам. Если кто-то настраивает это для этого, они уже владеют вашей системой (либо имеют физический доступ, либо полный/корневой доступ).