次の.htpasswd.htaccessログインSSLは保護されていますか?
.htpasswd/.htaccessHTTP認証を使用して保護したディレクトリがあります。ディレクトリの.htaccessファイルには次のようなものがあります。
SSLRequireSSL
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/xyz/.htpasswd
AuthName "Restricted Area"
AuthType Basic
Require valid-user
保護されたディレクトリのページに移動すると、SSLRequireSSLディレクティブによってhttpsを強制されます。これは期待どおりです。これは、ログイン資格情報を要求された時点で、ブラウザ(Firefox)のアドレスが常にHTTPS://で始まることを意味します。これはすばらしいことですが、SSLを示す南京錠の記号は、資格情報を入力して保護されたディレクトリにページを入力するまで表示されません。
これは、入力したパスワードがSSL接続が形成される前に何らかの形で送信されているため、SSLエンコードではなくプレーンテキストで渡されている可能性があることを懸念しています。
これは有効な懸念事項ですか?ありがとう。
いいえ、すべてSSLで暗号化する必要があります。信頼されていない証明書を使用している場合は、ログインプロンプトの前に証明書の信頼に関する警告が表示されることを確認できます。
初期 401資格情報の入力を求める応答は403暗号化されていないチャネル上にあった場合。 SSLRequireSSLが配置されているので、間違いなく安全です。