HTTPS и аутентификация BASIC

171
19

Когда я использую HTTP BASIC аутентификацию вместе с HTTPS, безопасно ли передаются имя пользователя и пароль на сервер?


Я был бы рад, если бы вы могли помочь мне с некоторыми рекомендациями.


Я имею в виду, было бы здорово, если бы я мог ссылаться на StackOverflow Q & A как ссылку, например, на задания, отчеты, экзамены или даже на технический документ. Но я думаю, что я еще не там.

спросил(а) 2021-01-25T13:47:07+03:00 4 месяца, 3 недели назад
1
Решение
191

да. если вы используете https, разговор с веб-сервером полностью зашифрован.

ответил(а) 2021-01-25T13:47:07+03:00 4 месяца, 3 недели назад
88

Базовая аутентификация HTTP и HTTPS - это разные концепции.


    В HTTP-аутентификации имя пользователя и пароль отправляются в ясном тексте (в поле "Дайдж-код HTTP" пароль авторизации отправляется в base64, закодированном с использованием алгоритма MD5)
    В то время как HTTPS - это совершенно разные функции, здесь полное сообщение зашифровывается на основе ключей и сертификата SSL.

Обратите внимание: разница между авторизацией и безопасностью. HTTP Основная авторизация - это концепция авторизации, это не безопасность


ДА. В вашем случае HTTP-сообщение с именем пользователя и паролем будет зашифровано, а затем отправлено на сервер.

ответил(а) 2021-01-25T13:47:07+03:00 4 месяца, 3 недели назад
88

Да, они прошли безопасно... если хакер может расшифровать вашу транзакцию https, он наверняка расшифрует пользователя base64: пароль...


Я знаю, что чем больше камней вы кладете, тем сложнее... но base64 не по соображениям безопасности

ответил(а) 2021-01-25T13:47:07+03:00 4 месяца, 3 недели назад
45

Если в локальной системе установлен такой инструмент, как Fiddler, его можно использовать для пересылки ваших https-передач, дешифрованных третьим лицам. Если кто-то настраивает это для этого, они уже владеют вашей системой (либо имеют физический доступ, либо полный/корневой доступ).

ответил(а) 2021-01-25T13:47:07+03:00 4 месяца, 3 недели назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема