HTTPSおよびBASIC認証
HTTP BASIC認証 を [〜#〜] https [〜#〜] と一緒に使用すると、ユーザー名とパスワードはサーバーに安全に渡されますか?
いくつかの参考資料を手伝っていただければ幸いです。
つまり、たとえば、課題、レポート、試験、さらにはテクニカルペーパーで、StackOverflowのQ&Aを参照として引用できれば素晴らしいと思います。しかし、私はまだそこにいないと思います。
はい。 httpsを使用している場合、Webサーバーとの会話は完全に暗号化されます。
HTTP基本認証とHTTPSはどちらも異なる概念です。
- HTTP基本認証では、ユーザー名とパスワードはクリアテキストで送信されます(HTTPダイジェスト認証では、パスワードはMD5アルゴリズムを使用してエンコードされたbase64で送信されます)
- HTTPSは完全に異なる機能ですが、ここでは完全なメッセージがキーとSSL証明書に基づいて暗号化されています。
注意:承認とセキュリティには違いがあります。 HTTP基本認証は認証の概念であり、セキュリティではありません
はい。あなたの場合、ユーザー名とパスワードを含むHTTPメッセージは暗号化されてから、サーバーに送信されます。
はい、安全に渡されます...ハッカーがhttpsトランザクションを復号化できる場合、base64 user:password ...を確実に復号化できます。
私はあなたがより多くの岩を置くのが難しくなることを知っています...しかしbase64はセキュリティ上の理由ではありません
Fiddlerのようなツールがローカルシステムにインストールされている場合、それを使用して、復号化されたhttps送信をサードパーティに転送することができます。誰かがこれを行うように設定した場合、その人はすでにあなたのシステムを所有しています(物理アクセスまたはフル/ルートアクセスのいずれかを持っています)。