password example autenticacion https basic-authentication

https - example - post header authorization basic



Credenciales de autenticación básica de HTTP pasadas en URL y encriptación (3)

¿El nombre de usuario y la contraseña se cifrarán automáticamente con SSL? Es lo mismo cierto para GETs y POSTs.

Si si si.

La comunicación completa (excepto para la búsqueda de DNS si la IP del nombre de host no está en caché) se cifra cuando SSL está en uso.

Tengo una pregunta sobre las credenciales de autenticación HTTP y HTTPS.

Supongamos que aseguro una URL con autenticación HTTP:

<Directory /var/www/webcallback> AuthType Basic AuthName "Restricted Area" AuthUserFile /var/www/passwd/passwords Require user gooduser </Directory>

Luego accedo a esa URL desde un sistema remoto a través de HTTPS, pasando las credenciales en la URL:

https://gooduser:[email protected]/webcallback?foo=bar

¿El nombre de usuario y la contraseña se cifrarán automáticamente con SSL? ¿Es lo mismo cierto para GET y POST? Me está costando mucho encontrar una fuente creíble con esta información.


Sí, será encriptado.

Lo entenderás si simplemente verificas lo que sucede detrás de escena.

  1. El navegador o la aplicación primero desglosarán la URL e intentarán obtener la IP del host mediante una consulta de DNS. es decir: se realizará una solicitud de DNS para encontrar la dirección IP del dominio (www.example.com). Tenga en cuenta que no se enviará ninguna otra información a través de esta solicitud.
  2. El navegador o la aplicación iniciarán una conexión SSL con la dirección IP recibida de la solicitud de DNS. Los certificados se intercambiarán y esto sucede en el nivel de transporte. No se transferirá información de nivel de aplicación en este punto. Recuerde que la autenticación básica es parte de HTTP y HTTP es un protocolo de nivel de aplicación. No es una tarea de capa de transporte.
  3. Después de establecer la conexión SSL, ahora los datos necesarios se pasarán al servidor. es decir: la ruta o la URL, los parámetros y el nombre de usuario y la contraseña de autenticación básica.

No necesariamente cierto. Se cifrará en el cable, sin embargo, aún se incluye en el texto sin formato de los registros.