1. Inicio
  2. Pregunta y respuesta
  3. autenticación HTTPS y BASIC

autenticación HTTPS y BASIC

2010-08-12 14 views
14

Cuando uso HTTP BASIC authentication junto con HTTPS, ¿el nombre de usuario y la contraseña se pasan de forma segura al servidor?autenticación HTTPS y BASIC

Estaría encantado si me puede ayudar con algunas referencias.

Quiero decir, sería genial si puedo citar StackOverflow Q & A como referencia en, por ejemplo, asignaciones, informes, exámenes o incluso en un documento técnico. Pero creo que todavía no estoy allí.

Fuente

2010-08-12 Afriza N Arief

+0

Mi otra pregunta tiene muy buenas respuestas que también responden esta pregunta: http://stackoverflow.com/questions/3563957/https-url-path-and-query-string –

Respuesta

18

sí. Si usa https, la conversación con el servidor web está completamente encriptada.

Fuente

2010-08-12 03:06:21

+5

+1. Incluso el hecho de que Basic Auth se lleve a cabo no se puede establecer desde el exterior. – Thilo

+0

@Thilo: Gracias; ¿Me puedes ayudar con algunas referencias? –

+3

[Stripe] (https://stripe.com/docs/api#authentication) le gusta esto (y procesan las transacciones con tarjeta de crédito). – greatwitenorth

3

HTTP Basic Authentication y HTTPS son conceptos diferentes.

  • En la autenticación básica HTTP nombre de usuario y la contraseña se envían en texto claro (En la contraseña HTTP Digest autorización se envía en base 64 codificados utilizando el algoritmo MD5)
  • Mientras HTTPS es una funcionalidad completamente diferente, el mensaje aquí completa está cifrado basado en claves y certificado SSL.

Nota: existe una diferencia entre la autorización y la seguridad. La autorización básica HTTP es un concepto de autorización, no es seguridad

SÍ. En su caso, el mensaje HTTP con nombre de usuario y contraseña se cifrará y luego se enviará al servidor.

Fuente

2010-08-12 03:46:51 Alam

+4

Es la autenticación HTTP básica, no la autorización, que es otro concepto más. – Bruno

+0

Por autorización me refiero al encabezado "401 no autorizado" según RFC 2617. Lo siento por crear confusión – Alam

+1

También vale la pena mencionar que HTTPS también proporciona formas de autenticación (registro basado en el inicio de sesión), no solo cifrado: la autenticación HTTP básica puede no ser necesitado allí. –

3

Sí, se pasan de forma segura ... si un hacker puede descifrar su transacción https él puede descifrar con seguridad al usuario base64: contraseña ...

Sé que el más rocas que ponen más difícil se hace. .. pero base64 no es por razones de seguridad

Fuente

2010-08-12 03:52:39

+0

¿Podría indicarnos cómo saltó de la autenticación HTTP BASIC a base64? –

+3

Las contraseñas de autenticación básica están codificadas en base64. Estas cadenas luego son encriptadas por SSL. – bnieland

0

Si una herramienta como Fiddler está instalada en su sistema local, podría usarse para reenviar sus transmisiones https descifradas a un tercero. Si alguien lo configura para hacer esto, ya posee su sistema (ya sea que tenga acceso físico o acceso completo/raíz).

Fuente

2011-04-21 22:07:55 TroyJ

Cuestiones relacionadas

 Cuestiones relacionadas