https - online - http request with basic authentication
Autenticación HTTPS y BASIC (4)
Cuando uso la autenticación HTTP BASIC junto con HTTPS , ¿el nombre de usuario y la contraseña se transfieren de manera segura al servidor?
Me encantaría que me ayudaran con algunas referencias.
Quiero decir, sería genial si pudiera citar las preguntas y respuestas de StackOverflow como referencia en, digamos, tareas, informes, exámenes o incluso en un documento técnico. Pero creo que todavía no estoy allí.
La autenticación básica HTTP y HTTPS son conceptos diferentes.
- En la autenticación básica HTTP, el nombre de usuario y la contraseña se envían en texto sin cifrar (en HTTP Digest, la contraseña de autorización se envía en base64 codificada utilizando el algoritmo MD5)
- Mientras que HTTPS es una funcionalidad completamente diferente, aquí el mensaje completo se cifra según las claves y el certificado SSL.
Tenga en cuenta: Hay una diferencia entre la autorización y la seguridad. La autorización HTTP básica es un concepto de autorización, no es seguridad.
SÍ. En su caso, el mensaje HTTP con nombre de usuario y contraseña se cifrará y luego se enviará al servidor.
Sí, se pasan de forma segura ... si un pirata informático puede descifrar su transacción https, puede descifrar con seguridad el usuario base64: contraseña ...
Sé que cuantas más rocas pones, más difícil será ... pero base64 no es por razones de seguridad.
Si se instala una herramienta como Fiddler en su sistema local, se podría usar para reenviar sus transmisiones https a un tercero. Si alguien lo configura para hacer esto, ya es dueño de su sistema (ya sea que tenga acceso físico o acceso completo / root).
sí. Si está utilizando https, la conversación con el servidor web está completamente encriptada.