Ответ 1
Будет ли имя пользователя и пароль автоматически зашифрованы SSL? То же самое верно для GET и POST
Да, да, да.
Вся связь (за исключением поиска DNS, если IP для имени хоста еще не кэширована) зашифровывается, когда используется SSL.
Базовые аутентификационные данные HTTP, переданные по URL-адресу и шифрованию
У меня вопрос о полномочиях HTTPS и HTTP Authentication.
Предположим, что я защищаю URL с HTTP-аутентификацией:
<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>
Затем я получаю доступ к этому URL-адресу из удаленной системы через HTTPS, передавая учетные данные в URL-адресе:
https://gooduser:[email protected]/webcallback?foo=bar
Будет ли имя пользователя и пароль автоматически зашифрованы SSL? То же самое верно для GET и POST? Мне трудно найти надежный источник с этой информацией.
Ответы
Ответ 2
Да, он будет зашифрован.
Вы поймете это, если вы просто проверите, что происходит за кулисами.
- Браузер или приложение сначала разбивают URL-адрес и пытаются получить IP-адрес хоста с помощью DNS-запроса. т.е.: Будет выполнен запрос DNS, чтобы найти IP-адрес домена (www.example.com). Обратите внимание, что никакая другая информация не будет отправлена через этот запрос.
- Браузер или приложение инициируют SSL-соединение с IP-адресом, полученным от запроса DNS. Сертификаты будут обменяться, и это произойдет на транспортном уровне. На данный момент информация об уровне приложения не будет передана. Помните, что базовая аутентификация является частью протокола HTTP, а HTTP - протоколом уровня приложения. Не задача транспортного уровня.
- После установления соединения SSL теперь необходимые данные будут переданы серверу. т.е.: путь или URL-адрес, параметры и базовое имя и пароль для аутентификации.
Ответ 3
Не обязательно верно. Он будет зашифрован на проводе, однако он по-прежнему приземляется в обычном тексте журналов