HTTPS和BASIC身份验证
当我使用HTTP BASIC authentication和HTTPS时,是否将用户名和密码安全地传递给服务器?HTTPS和BASIC身份验证
我会很高兴,如果你可以帮我一些参考。
我的意思是,如果我可以引用* Q & A作为参考资料,例如作业,报告,考试甚至是技术文件,那就太好了。但我认为我还没有。
是的。如果您使用https,则与Web服务器的对话完全加密。
+1。即使是基本身份验证发生的事实也不能从外部建立。 – Thilo 2010-08-12 04:33:57
@Thilo:谢谢,你能帮我一些参考吗? – 2010-08-12 17:50:05
[Stripe](https://stripe.com/docs/api#authentication)是否这样(并处理信用卡交易)。 – greatwitenorth 2013-06-14 15:25:33
HTTP基本验证和HTTPS都是不同的概念。
- 在HTTP基本认证的用户名和密码以明文形式被发送(在HTTP摘要授权密码base64编码被发送使用MD5算法)
- 鉴于HTTPS是完全不同的功能,在这里完成消息是加密的基于密钥和SSL证书。
请注意:授权和安全性是有区别的。 HTTP基本授权是一种授权概念,它不是安全的
是的。在你的情况下,带有用户名和密码的HTTP消息将被加密,然后发送到服务器。
是的,他们安全地过去了......如果黑客能够解密你的HTTPS的交易,他可以肯定地解密的base64用户名:密码...
我知道的越多岩石你把它需要的困难。 ..但base64不是出于安全原因
请问您如何从HTTP BASIC身份验证跳转到base64? – 2010-08-25 08:44:53
基本身份验证密码是base64编码的。这些字符串稍后通过SSL加密。 – bnieland 2011-06-07 11:57:28
如果在本地系统上安装了像Fiddler这样的工具,它可以用来将您的https传输解密到第三方。如果有人设置它来做到这一点,他们已经拥有你的系统(无论是物理访问还是完全/ root访问)。
我的另一个问题有很好的答案,也回答这个问题:http://*.com/questions/3563957/https-url-path-and-query-string – 2012-05-01 16:17:07