我對HTTPS和HTTP身份驗證憑證有疑問。通過URL和加密傳遞的HTTP基本身份驗證憑證
想我確保URL與HTTP認證:
<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>
我再從遠程系統訪問該網址通過HTTPS,合格證書的網址:
https://gooduser:[email protected]/webcallback?foo=bar
請問用戶名和密碼是否自動進行SSL加密? GET和POST也一樣嗎?我很難用這些信息找到一個可靠的來源。
用戶名和密碼是否會自動進行SSL加密?對於GET和POST而言也是如此
是,是的是。
當SSL正在使用時,整個通信(如果主機名的IP尚未緩存,則保存爲DNS查找)。
+1。 GET和POST,包括url,都被加密。我只會添加 - 像螢火蟲和篡改數據的工具能夠顯示未加密的結果*僅僅是因爲它們是瀏覽器的一部分,因此能夠在加密之前攔截請求。一旦通過電線發送,所有內容都被加密。 – 2010-04-27 05:40:04
要清楚,除域之外的所有內容都已加密。如果有人遇到此問題並希望得到更詳細的答案,請參閱http://answers.google.com/answers/threadview/id/758002.html – rcourtna 2010-04-29 02:03:21
爲了完整起見,「[Internet Explorer不支持用戶名和密碼在網站地址(HTTP或HTTPS URL)](http://support.microsoft.com/kb/834489/en-us)「 看起來像只有Internet Explorer版本3.0到6。0支持HTTP或HTTPS URL的以下語法: http(s):// username:[email protected]/resource.ext 注意:此默認行爲的更改不會影響其他協議。例如,在安裝832894安全更新後,仍然可以在FTP URL中包含用戶信息。 – Luke 2013-02-21 18:30:23
不一定正確。它將在網上加密,但它仍然在日誌中登錄純文本
什麼Web服務器從請求中記錄用戶名和密碼?這將是一個不安全的Web服務器的地獄。 – 2012-07-27 02:09:26
是的,這只是不正確的。指示apache記錄這些信息可能是可能的,但默認情況下它肯定不會這樣做。 – DougW 2012-08-13 23:14:16
@Brandon可能認爲查詢字符串中含有「in URL」(例如,?user = bob&pw = 123hackmeplz)。這可能會在服務器日誌中結束。 – 2013-06-24 22:49:28
是的,它將被加密。
如果您只是簡單地檢查幕後發生的事情,您會理解它。
相關:[用戶名和密碼在https url](http://stackoverflow.com/questions/4980912/username-and-password-in-https-url) – 2015-02-04 02:25:34