web-dev-qa-db-fra.com

Les informations d'authentification de base HTTP transmises dans l'URL et le chiffrement

J'ai une question sur les informations d'authentification HTTPS et HTTP.

Supposons que je sécurise une URL avec une authentification HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

J'accède ensuite à cette URL depuis un système distant via HTTPS, en passant les informations d'identification dans l'URL:

https://gooduser:[email protected]/webcallback?foo=bar

Le nom d'utilisateur et le mot de passe seront-ils automatiquement cryptés SSL? Est-ce la même chose pour les GET et les POST? J'ai du mal à trouver une source crédible avec cette information.

httpsbasic-authentication
241
rcourtna

Le nom d'utilisateur et le mot de passe seront-ils automatiquement cryptés SSL? Est-ce la même chose pour les GET et les POST

Oui oui oui.

Toute la communication (à l'exception de la recherche DNS si l'adresse IP du nom d'hôte n'est pas déjà mise en cache) est cryptée lorsque SSL est utilisé.

230
Quentin

Oui, ce sera crypté.

Vous comprendrez si vous vérifiez simplement ce qui se passe dans les coulisses.

  1. Le navigateur ou l'application décomposera d'abord l'URL et tentera d'obtenir l'adresse IP de l'hôte à l'aide d'une requête DNS. C'est-à-dire qu'une requête DNS sera faite pour trouver l'adresse IP du domaine (www.example.com). Veuillez noter qu'aucune autre information ne sera envoyée via cette demande.
  2. Le navigateur ou l’application initiera une connexion SSL avec l’adresse IP reçue de la requête DNS. Les certificats seront échangés et cela se produit au niveau du transport. Aucune information sur le niveau d'application ne sera transférée à ce stade. N'oubliez pas que l'authentification de base fait partie de HTTP et que HTTP est un protocole au niveau de l'application. Pas une tâche de la couche de transport.
  3. Après avoir établi la connexion SSL, les données nécessaires seront maintenant transmises au serveur. c'est-à-dire: le chemin ou l'URL, les paramètres et le nom d'utilisateur et le mot de passe de l'authentification de base.
24
Ruchira Randana