Dane uwierzytelniające podstawowe HTTP przekazywane w adresie URL i szyfrowaniu

Mam pytanie dotyczące poświadczeń HTTPS i HTTP.

Załóżmy, że zabezpieczam adres URL za pomocą uwierzytelniania HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Następnie uzyskuję dostęp do tego adresu URL ze zdalnego systemu za pośrednictwem protokołu HTTPS, przekazując poświadczenia w adresie URL:

https://gooduser:[email protected]/webcallback?foo=bar

Czy nazwa użytkownika i hasło będą automatycznie szyfrowane SSL? Czy to samo dotyczy GET i POST? Trudno mi znaleźć wiarygodne źródło tych informacji.

Czy nazwa użytkownika i hasło będą automatycznie szyfrowane SSL? To samo dotyczy GET i POST

Tak tak tak.

Cała komunikacja (z wyjątkiem wyszukiwania DNS, jeśli adres IP nazwy hosta nie jest jeszcze buforowany) jest szyfrowana, gdy używany jest protokół SSL.

Tak, zostanie zaszyfrowany.

Zrozumiesz to, jeśli po prostu sprawdzisz, co dzieje się za kulisami.

1. Przeglądarka lub aplikacja najpierw rozdzieli adres URL i spróbuje uzyskać adres IP hosta za pomocą zapytania DNS. tzn. zostanie wysłane żądanie DNS w celu znalezienia adresu IP domeny (www.example.com). Należy pamiętać, że żadne inne informacje nie zostaną wysłane za pośrednictwem tego żądania.
2. Przeglądarka lub aplikacja zainicjuje połączenie SSL z adresem IP otrzymanym z żądania DNS. Certyfikaty zostaną wymienione, a dzieje się to na poziomie transportu. W tym momencie nie zostaną przesłane żadne informacje na poziomie aplikacji. Pamiętaj, że uwierzytelnianie podstawowe jest częścią HTTP, a HTTP to protokół na poziomie aplikacji. Nie zadanie warstwy transportowej.
3. Po ustanowieniu połączenia SSL niezbędne dane zostaną przesłane do serwera. tj .: ścieżka lub adres URL, parametry i podstawowa nazwa użytkownika i hasło uwierzytelniania.

Niekoniecznie prawda. Zostanie zaszyfrowany na kablu, ale nadal będzie wylądował w dziennikach jako zwykły tekst