那些遇到过的问题

将URL中的用户名和密码传递到受“ htpasswd”保护的域中,是否将其加密?

sam*_*sam 4 https http .htpasswd

我知道您可以使用以下架构输入受htpasswd保护的URL的用户名,密码和域:

http://$username:$password@$Domain

例如:

http://sam:1234@example.com

但这对HTTPS域有效吗?如果这样的话,用户名和密码在传输过程中会被加密吗?

Tar*_*ani 8

HTTP基本身份验证存在一些问题:

  • 密码以base64编码(可轻松转换为纯文本)通过网络发送。
  • 对于每个请求,密码都会重复发送。(较大的攻击窗口)
  • 密码由网络浏览器缓存,最小长度为窗口/进程的长度。(可以由对服务器的任何其他请求以静默方式重用,例如CSRF)。
  • 如果用户要求,密码可以永久存储在浏览器中。(与上一点相同,此外,其他用户可能会在共享计算机上被盗)。

其中,仅使用SSL可以解决第一个问题。即使这样,SSL也仅在网络服务器保护之前-任何内部路由,服务器日志记录等都将看到纯文本密码。

因此,与其他任何事情一样,查看整个图片很重要。

HTTPS是否在传输过程中保护密码?是。

够了吗?通常不会 (我想说的是,永远不会-但这实际上取决于您的网站是什么以及它的安全性。)

对以下答案的完整功劳(复制的单词到单词)

https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https

归档时间:

查看次数:

93 次

最近记录:

6 年,8 月 前
相关归档
哪里可以找到HTTP方法示例? 24
Angular 2 SimpleChanges对象在第一个npm start时抛出错误 8
找不到与绑定WSHttpBinding的端点的scheme http匹配的基址 7
Lightstreamer背后的魔力是什么? 6
Arraybuffer 与 blob 性能 6
为什么重复的脚本标签不会产生重复的请求? 5
在.Net中将HTTP 2与HttpClient一起使用 5
如何在GO中使用CA证书创建TLS客户端? 4
使用具有多个文件的GZIP进行HTTP内容编码是否可能? 3
发送POST请求 1
难疑归档
如何重定向到其他网页? 7725
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
何时在Java中使用LinkedList而不是ArrayList? 2974
如何在Java中将String转换为int? 2882
如何在Java中打破嵌套循环? 1751
单击div到底层元素 1500
如何有效地计算JavaScript中对象的键/属性数? 1452
如何使用sed替换换行符(\n)? 1295
如何从GET参数中获取值? 1255
按属性排序自定义对象的ArrayList 1093