URL ve şifrelemeye aktarılan HTTP Temel Kimlik Doğrulama kimlik bilgileri


250

HTTPS ve HTTP Kimlik Doğrulama kimlik bilgileri hakkında bir sorum var.

Bir URL'yi HTTP Kimlik Doğrulaması ile koruduğumu varsayalım:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Daha sonra bu URL'ye HTTPS aracılığıyla uzak bir sistemden erişerek URL'deki kimlik bilgilerini geçiyorum:

https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

Kullanıcı adı ve şifre otomatik olarak SSL ile şifrelenecek mi? Aynı şey GET'ler ve POST'lar için de geçerli mi? Bu bilgilerle güvenilir bir kaynak bulmakta zorlanıyorum.



Çok eski bir soru ama yine de: bu yaklaşım ietf.org/rfc/rfc3986.txt tarafından kullanımdan kaldırıldı : "userinfo alanında" user: password "biçiminin kullanımı kaldırıldı."
Madbreaks

Yanıtlar:


237

Kullanıcı adı ve şifre otomatik olarak SSL ile şifrelenecek mi? GET'ler ve POST'lar için de aynı şey geçerli

Evet evet evet.

SSL kullanımdayken tüm iletişim (ana bilgisayar adı için IP zaten önbelleğe alınmamışsa DNS araması için kaydet) şifrelenir.


25
+1. URL dahil GET'ler ve POST'lar şifrelenir. Sadece ekleyeceğim - firebug ve Tamper verileri gibi araçlar şifrelenmemiş sonuçları sadece tarayıcının bir parçası oldukları için gösterebilir ve bu nedenle şifrelenmeden önce isteği kesebilir. Tel üzerinden gönderildikten sonra her şey şifrelenir.
Sripathi Krishnan

21
Açık olmak gerekirse, etki alanı dışındaki her şey şifrelenir. Bu genelinde herkes Tökezlemeler ve daha ayrıntılı bir cevap istiyorsanız, bkz answers.google.com/answers/threadview/id/758002.html
rcourtna

7
Tamlık olması açısından, " Internet Explorer Web sitesi adreslerindeki (HTTP veya HTTPS URL'leri) kullanıcı adlarını ve parolaları desteklemiyor " Görünüşe göre yalnızca 3.0 ile 6.0 arasındaki Internet Explorer sürümleri HTTP veya HTTPS URL'leri için aşağıdaki sözdizimini destekler: http (s): //username:password@server/resource.ext Not: Varsayılan davranıştaki bu değişiklik diğer protokolleri etkilemez. Örneğin, 832894 güvenlik güncelleştirmesini yükledikten sonra yine de kullanıcı bilgilerini bir FTP URL'sine ekleyebilirsiniz.
Luke

bu cevap ne güvenilir bir kaynak ne de başka açıklamalar içermiyor.
Jens Piegsa

26

Evet, şifrelenecek.

Sadece perde arkasında neler olduğunu kontrol ederseniz anlayacaksınız.

  1. Tarayıcı veya uygulama önce URL'yi parçalar ve bir DNS Sorgusu kullanarak ana bilgisayarın IP'sini almaya çalışır. örn .: Alan adının IP adresini bulmak için bir DNS talebi yapılacaktır (www.example.com). Bu istek yoluyla başka hiçbir bilgi gönderilmeyeceğini lütfen unutmayın.
  2. Tarayıcı veya uygulama, DNS isteğinden alınan IP adresiyle bir SSL bağlantısı başlatacaktır. Sertifikalar değiş tokuş edilecek ve bu taşıma seviyesinde gerçekleşecek. Bu noktada hiçbir uygulama seviyesi bilgisi aktarılmayacaktır. Temel kimlik doğrulamanın HTTP'nin bir parçası olduğunu ve HTTP'nin uygulama düzeyinde bir protokol olduğunu unutmayın. Taşıma katmanı görevi değil.
  3. SSL bağlantısı kurulduktan sonra, artık gerekli veriler sunucuya iletilecektir. ie: Yol veya URL, parametreler ve temel kimlik doğrulama kullanıcı adı ve şifresi.

-5

Mutlaka doğru değil. Tel üzerinde şifrelenir, ancak yine de günlüklerin düz metninde bulunur


17
Hangi Web sunucusu isteklerden kullanıcı adını ve şifreleri günlüğe kaydeder? Bu, güvensiz bir web sunucusunun cehennemi olabilir.
Andrew Barber

1
Evet bu doğru değil. Apache'ye bu bilgileri günlüğe kaydetmesi talimatı verilebilir, ancak kesinlikle varsayılan olarak bunu yapmaz.
DougW

27
@Brandon muhtemelen "URL'de" sorgu dizesi anlamına geliyordu (ör.? User = bob & pw = 123hackmeplz). Bu, sunucu günlüklerine neden olabilir.
Mike Graf

5
İlgili: "İstemcide bu URL'yi örneğin curl ile çağırdığınızda, kullanıcı adı ve şifre işlem listesinde açıkça görülebilir ve bash geçmiş dosyasında görünebilir." - stackoverflow.com/a/4981309
Hawkeye Parker

1
@ zb226, asker özellikle kimlik bilgilerini URL'ye koymadan bahsetti.
Lambart
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.