Jad*_*d S 1 curl http credentials
我试图弄清楚curl -u使用真实的用户名和密码有多安全。调查此类请求的标头,似乎用户名和密码已转换为某种哈希值。
在下面的例子中,它似乎jujuba:lalalala被转向anVqdWJhOmxhbGFsYWxh
这是加密还是压缩?安全吗?接收者如何解码该数据?
curl -u jujuba:lalalala -i -X Get http://localhost:80/api/resource -v
* timeout on name lookup is not supported
* Trying 127.0.0.1...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Connected to localhost (127.0.0.1) port 80 (#0)
* Server auth using Basic with user 'jujuba'
> Get /api/resource HTTP/1.1
> Host: localhost
> Authorization: Basic anVqdWJhOmxhbGFsYWxh
如果运行命令:
echo anVqdWJhOmxhbGFsYWxh | base64 -d
您将jujuba:lalala看到内容只是 Base-64 编码,这是基本身份验证的标准。
您应该对任何需要身份验证的站点使用 HTTPS。
| 归档时间: |
|
| 查看次数: |
3629 次 |
| 最近记录: |