1. घर
  2. सवाल और जवाब
  3. HTTP मूल प्रमाणीकरण प्रमाण पत्र URL और एन्क्रिप्शन

HTTP मूल प्रमाणीकरण प्रमाण पत्र URL और एन्क्रिप्शन

2010-04-26 17 views
211

में पास हुए हैं मेरे पास HTTPS और HTTP प्रमाणीकरण प्रमाण-पत्रों के बारे में कोई प्रश्न है।HTTP मूल प्रमाणीकरण प्रमाण पत्र URL और एन्क्रिप्शन

मान लीजिए मैं HTTP प्रमाणीकरण के साथ एक यूआरएल को सुरक्षित:

<Directory /var/www/webcallback> 
AuthType Basic 
AuthName "Restricted Area" 
AuthUserFile /var/www/passwd/passwords 
Require user gooduser 
</Directory>

मैं तो HTTPS के द्वारा दूरस्थ सिस्टम से उस URL तक पहुँचने, URL में साख गुजर:

https://gooduser:[email protected]/webcallback?foo=bar

विल उपयोगकर्ता नाम और पासवर्ड स्वचालित रूप से एसएसएल एन्क्रिप्टेड हो? जीईटी और पोस्ट के लिए भी यही सच है? मुझे इस जानकारी के साथ एक विश्वसनीय स्रोत का पता लगाने में कठिनाई हो रही है।

स्रोत

2010-04-26 rcourtna

+1

संबंधित: [https url में उपयोगकर्ता नाम और पासवर्ड] (http://stackoverflow.com/questions/4980912/username-and-password-in-https-url) –

उत्तर

201

क्या उपयोगकर्ता नाम और पासवर्ड स्वचालित रूप से एसएसएल एन्क्रिप्टेड होगा? जीईटी और POSTs के लिए भी यही सच है

हाँ, हाँ हाँ।

संपूर्ण संचार (DNS लुकअप के लिए सहेजें यदि मेजबाननाम के लिए आईपी पहले ही कैश नहीं किया गया है) एसएसएल उपयोग में होने पर एन्क्रिप्टेड है।

स्रोत

2010-04-26 21:25:00 Quentin

+23

+1। यूआरएल सहित जीईटी और पोस्ट, एन्क्रिप्टेड हैं। मैं केवल जोड़ दूंगा - फ़ायरबग और टैम्पर डेटा जैसे टूल्स अन-एन्क्रिप्टेड परिणाम दिखाने में सक्षम हैं * केवल इसलिए कि * वे ब्राउज़र का हिस्सा हैं और इसलिए एन्क्रिप्टेड होने से पहले अनुरोध को अवरुद्ध करने में सक्षम हैं। एक बार तार पर भेजा, सब कुछ एन्क्रिप्टेड है। –

+18

स्पष्ट होने के लिए, डोमेन के अलावा सबकुछ एन्क्रिप्ट किया गया है। यदि कोई इस पर फंसे हुए हैं और अधिक विस्तृत उत्तर चाहते हैं, तो http://answers.google.com/answers/threadview/id/758002.html – rcourtna

+7

पूर्णता के लिए देखें, "[इंटरनेट एक्सप्लोरर उपयोगकर्ता नामों और पासवर्ड का समर्थन नहीं करता है वेब साइट पते (HTTP या HTTPS यूआरएल) में] (http://support.microsoft.com/kb/834489/en-us) " ऐसा लगता है कि केवल इंटरनेट एक्सप्लोरर संस्करण 3.0 से 6 है।0 HTTP या HTTPS URL के लिए निम्न वाक्यविन्यास का समर्थन करते हैं: http: // उपयोगकर्ता नाम: [email protected]/resource.ext नोट: डिफ़ॉल्ट व्यवहार में यह परिवर्तन अन्य प्रोटोकॉल को प्रभावित नहीं करता है। उदाहरण के लिए, आप 832894 सुरक्षा अद्यतन को स्थापित करने के बाद भी एक FTP URL में उपयोगकर्ता जानकारी शामिल कर सकते हैं। – Luke

-7

आवश्यक नहीं है। यह तार पर एन्क्रिप्ट किया जाएगा, हालांकि यह अभी भी लॉग सादे पाठ

स्रोत

2012-07-26 21:10:03 Brandon

+16

क्या वेब सर्वर उपयोगकर्ता नाम और पासवर्ड अनुरोधों से लॉग करता है? यह एक असुरक्षित वेब सर्वर का नरक होगा। –

+0

हाँ यह सिर्फ सच नहीं है। यह जानकारी लॉग इन करने के लिए अपाचे को निर्देश देना शायद संभव है, लेकिन यह निश्चित रूप से डिफ़ॉल्ट रूप से ऐसा नहीं कर रहा है। – DougW

+24

@ ब्रैंडन शायद क्वेरी स्ट्रिंग (उदाहरण के लिए, उपयोगकर्ता = बॉब और पीडब्ल्यू = 123hackmeplz) में "यूआरएल में" सोच रहा था। यह सर्वर लॉग में समाप्त हो सकता है। –

16

हां, यह एन्क्रिप्ट किया जाएगा।

यदि आप बस दृश्यों के पीछे क्या होता है तो आप इसे समझ लेंगे।

  1. ब्राउज़र या एप्लिकेशन पहले यूआरएल को तोड़ देगा और एक DNS क्वेरी का उपयोग कर मेजबान का आईपी प्राप्त करने का प्रयास करेगा। यानी: डोमेन के आईपी पते (www.example.com) को खोजने के लिए एक DNS अनुरोध किया जाएगा। कृपया ध्यान दें कि इस अनुरोध के माध्यम से कोई अन्य जानकारी नहीं भेजी जाएगी।
  2. ब्राउज़र या एप्लिकेशन DNS अनुरोध से प्राप्त आईपी पते के साथ एक एसएसएल कनेक्शन शुरू करेगा। सर्टिफिकेट का आदान-प्रदान किया जाएगा और यह परिवहन स्तर पर होता है। इस बिंदु पर कोई आवेदन स्तर की जानकारी स्थानांतरित नहीं की जाएगी। याद रखें कि मूल प्रमाणीकरण HTTP का हिस्सा है और HTTP एक अनुप्रयोग स्तर प्रोटोकॉल है। एक परिवहन परत कार्य नहीं है।
  3. एसएसएल कनेक्शन स्थापित करने के बाद, अब आवश्यक डेटा सर्वर को पास कर दिया जाएगा। यानी: पथ या यूआरएल, पैरामीटर और मूल प्रमाणीकरण उपयोगकर्ता नाम और पासवर्ड।

स्रोत

2016-02-21 06:43:42

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे