HTTP基本身份validation凭据通过URL和encryption
我有一个关于HTTPS和HTTP身份validation证书的问题。
假设我使用HTTP身份validation来保护URL:
<Directory /var/www/webcallback> AuthType Basic AuthName "Restricted Area" AuthUserFile /var/www/passwd/passwords Require user gooduser </Directory>
然后,我通过HTTPS从远程系统访问该URL,并在URL中传递凭据:
https://gooduser:secretpassword@www.example.com/webcallback?foo=bar
用户名和密码是否会自动进行SSLencryption? GET和POST也一样吗? 我很难find这个信息的可靠来源。
用户名和密码是否会自动进行SSLencryption? GET和POST也是一样的
对对对。
如果主机名的IP尚未被caching,则整个通信(除DNS查找外)在使用SSL时被encryption。
是的,它会被encryption。
如果你只是简单地检查幕后发生的事情,你会明白的。
- 浏览器或应用程序将首先分解URL并尝试使用DNS查询获取主机的IP。 即:将发出DNS请求来查找域的IP地址(www.example.com)。 请注意,没有其他信息将通过此请求发送。
- 浏览器或应用程序将使用从DNS请求收到的IP地址发起SSL连接。 证书将被交换,这发生在运输级别。 此时不会传输应用程序级别的信息。 请记住,基本身份validation是HTTP的一部分,HTTP是应用程序级别的协议。 不是传输层任务。
- build立SSL连接后,现在必要的数据将被传递给服务器。 即:path或URL,参数和基本authentication用户名和密码。
不一定是真的。 它将在电线上encryption,但仍然在日志纯文本中