Xác thực HTTPS và BASIC

Question

Khi tôi sử dụng HTTP BASIC authentication cùng với HTTPS, tên người dùng và mật khẩu có được chuyển an toàn đến máy chủ không?

Tôi sẽ rất vui nếu bạn có thể giúp tôi với một số tham chiếu.

Ý tôi là, sẽ rất tuyệt nếu tôi có thể trích dẫn StackOverflow Q & A làm tài liệu tham khảo, nói, bài tập, báo cáo, kỳ thi hoặc thậm chí trong bài báo kỹ thuật. Nhưng tôi nghĩ tôi chưa có ở đó.

Answer 1

có. nếu bạn đang sử dụng https, cuộc trò chuyện với máy chủ web hoàn toàn được mã hóa.

Answer 2

Xác thực cơ bản HTTP và HTTPS đều là các khái niệm khác nhau.

• Trong tên truy cập và mật khẩu HTTP Basic Authentication được gửi dưới dạng clear text (Trong mật khẩu HTTP Digest Authorization được gửi trong mã hóa base64 sử dụng thuật toán MD5)
• Trong khi HTTPS là chức năng hoàn toàn khác nhau, thông điệp đầy đủ tại đây được mã hóa dựa trên khóa và chứng chỉ SSL.

Xin lưu ý: Có sự khác biệt giữa ủy quyền và bảo mật. Ủy quyền HTTP cơ bản là một khái niệm cấp phép không phải là bảo mật

CÓ. Trong trường hợp của bạn, thông báo HTTP với tên người dùng và mật khẩu sẽ được mã hóa và sau đó được gửi đến máy chủ.

Answer 3

Vâng, họ được thông qua một cách an toàn ... nếu một hacker có thể giải mã giao dịch https ông có thể chắc chắn giải mã người dùng base64: mật khẩu ...

Tôi biết những tảng đá nhiều bạn đặt càng khó mất. .. nhưng base64 không phải vì lý do bảo mật

Answer 4

Nếu một công cụ như Fiddler được cài đặt trên hệ thống cục bộ của bạn, nó có thể được sử dụng để chuyển tiếp truyền dẫn https của bạn được giải mã cho bên thứ ba. Nếu ai đó thiết lập để làm điều này, họ đã sở hữu hệ thống của bạn (hoặc có quyền truy cập vật lý hoặc truy cập đầy đủ/root).