Ответ 1
да. если вы используете https, разговор с веб-сервером полностью зашифрован.
HTTPS и аутентификация BASIC
Когда я использую HTTP BASIC аутентификацию вместе с HTTPS, безопасно ли передаются имя пользователя и пароль на сервер?
Я был бы рад, если бы вы могли помочь мне с некоторыми рекомендациями.
Я имею в виду, было бы здорово, если бы я мог ссылаться на StackOverflow Q & A как ссылку, например, на задания, отчеты, экзамены или даже на технический документ. Но я думаю, что я еще не там.
Ответы
Ответ 2
Базовая аутентификация HTTP и HTTPS - это разные концепции.
- В HTTP-аутентификации имя пользователя и пароль отправляются в ясном тексте (в поле "Дайдж-код HTTP" пароль авторизации отправляется в base64, закодированном с использованием алгоритма MD5)
- В то время как HTTPS - это совершенно разные функции, здесь полное сообщение зашифровывается на основе ключей и сертификата SSL.
Обратите внимание: разница между авторизацией и безопасностью. HTTP Основная авторизация - это концепция авторизации, это не безопасность
ДА. В вашем случае HTTP-сообщение с именем пользователя и паролем будет зашифровано, а затем отправлено на сервер.
Ответ 3
Да, они прошли безопасно... если хакер может расшифровать вашу транзакцию https, он наверняка расшифрует пользователя base64: пароль...
Я знаю, что чем больше камней вы кладете, тем сложнее... но base64 не по соображениям безопасности
Ответ 4
Если в локальной системе установлен такой инструмент, как Fiddler, его можно использовать для пересылки ваших https-передач, дешифрованных третьим лицам. Если кто-то настраивает это для этого, они уже владеют вашей системой (либо имеют физический доступ, либо полный/корневой доступ).