web-dev-qa-db-pt.com

Credenciais de Aceitação Básica HTTP transmitidos em URL e criptografia

Eu tenho uma pergunta sobre as credenciais de autenticação HTTPS e HTTP.

Suponha que eu proteja um URL com autenticação HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Em seguida, acesso esse URL a partir de um sistema remoto via HTTPS, passando as credenciais no URL:

https://gooduser:[email protected]/webcallback?foo=bar

O nome de usuário e a senha serão automaticamente criptografados por SSL? É a mesma verdade para GETs e POSTs? Estou tendo dificuldade em localizar uma fonte confiável com essas informações.

237
rcourtna

O nome de usuário e a senha serão automaticamente criptografados por SSL? É o mesmo para GETs e POSTs

Sim Sim Sim.

Toda a comunicação (salvo para a pesquisa de DNS, se o IP do nome do host não estiver armazenado em cache) será criptografada quando o SSL estiver em uso.

226
Quentin

Sim, será criptografado.

Você entenderá se simplesmente verificar o que acontece nos bastidores.

  1. O navegador ou aplicativo primeiro dividirá o URL e tentará obter o IP do Host usando uma Consulta DNS. Ex: Uma solicitação de DNS será feita para encontrar o endereço IP do domínio (www.example.com). Por favor, note que nenhuma outra informação será enviada através deste pedido.
  2. O navegador ou aplicativo iniciará uma conexão SSL com o endereço IP recebido da solicitação de DNS. Os certificados serão trocados e isso acontece no nível do transporte. Nenhuma informação de nível de aplicativo será transferida neste momento. Lembre-se de que a autenticação básica faz parte do HTTP e o HTTP é um protocolo no nível do aplicativo. Não é uma tarefa de camada de transporte.
  3. Depois de estabelecer a conexão SSL, agora os dados necessários serão passados ​​para o servidor. ie: O caminho ou a URL, os parâmetros e nome de usuário e senha de autenticação básica.
23
Ruchira Randana