it-swarm.com.de

Anmeldeinformationen für die HTTP-Basisauthentifizierung wurden in URL und Verschlüsselung übergeben

Ich habe eine Frage zu den Anmeldeinformationen für HTTPS und HTTP-Authentifizierung.

Angenommen, ich sichere eine URL mit HTTP-Authentifizierung:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Ich greife dann von einem entfernten System über HTTPS auf diese URL zu und übergebe die Anmeldeinformationen in der URL:

https://gooduser:[email protected]/webcallback?foo=bar

Werden Benutzername und Passwort automatisch SSL-verschlüsselt? Gilt das auch für GETs und POSTs? Es fällt mir schwer, mit diesen Informationen eine glaubwürdige Quelle zu finden.

241
rcourtna

Werden Benutzername und Passwort automatisch SSL-verschlüsselt? Gilt auch für GETs und POSTs

Ja Ja Ja.

Die gesamte Kommunikation (außer für die DNS-Suche, wenn die IP für den Hostnamen nicht bereits zwischengespeichert ist) wird verschlüsselt, wenn SSL verwendet wird.

230
Quentin

Ja, es wird verschlüsselt.

Sie werden es verstehen, wenn Sie einfach nachsehen, was hinter den Kulissen passiert.

  1. Der Browser oder die Anwendung wird zuerst die URL aufschlüsseln und versuchen, die IP des Hosts mithilfe einer DNS-Abfrage abzurufen. Dh: Es wird eine DNS-Anfrage gestellt, um die IP-Adresse der Domain zu ermitteln (www.example.com). Bitte beachten Sie, dass über diese Anfrage keine weiteren Informationen gesendet werden.
  2. Der Browser oder die Anwendung initiiert eine SSL-Verbindung mit der von der DNS-Anfrage erhaltenen IP-Adresse. Zertifikate werden ausgetauscht und dies geschieht auf Transportebene. Zu diesem Zeitpunkt werden keine Informationen auf Anwendungsebene übertragen. Denken Sie daran, dass die Standardauthentifizierung Teil von HTTP und HTTP ein Protokoll auf Anwendungsebene ist. Keine Transportschichtaufgabe.
  3. Nach dem Aufbau der SSL-Verbindung werden nun die notwendigen Daten an den Server übergeben. dh: Der Pfad oder die URL, die Parameter und der Benutzername und das Kennwort für die Basisauthentifizierung.
24
Ruchira Randana