Основні дані автентифікації HTTP, передані в URL-адресі та шифруванні

У мене є питання щодо облікових даних HTTPS та HTTP Authentication.

Припустимо, я захистив URL-адресу за допомогою аутентифікації HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Потім я отримую доступ до цієї URL-адреси з віддаленої системи через HTTPS, передаючи облікові дані в URL-адресу:

https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

Чи автоматично буде зашифровано SSL ім'я користувача та пароль? Чи однаково це для GET та POST? Мені важко знайти достовірне джерело з цією інформацією.

Чи автоматично буде зашифровано SSL ім'я користувача та пароль? Те саме стосується GET та POST

Так Так Так.

Весь зв’язок (за винятком пошуку DNS, якщо IP для імені хоста ще не кешовано) шифрується під час використання SSL.

Так, він буде зашифрований.

Ви зрозумієте це, якщо просто перевірити, що відбувається за лаштунками.

1. Веб-переглядач або програма спочатку розбить URL-адресу та спробують отримати IP-адресу хоста за допомогою DNS-запиту. тобто: буде зроблений запит DNS для пошуку IP-адреси домену (www.example.com). Зверніть увагу, що жодна інша інформація не надсилатиметься за допомогою цього запиту.
2. Веб-переглядач або програма ініціюватиме SSL-з'єднання з IP-адресою, отриманою від запиту DNS. Обмінятимуться сертифікатами, і це відбувається на транспортному рівні. На даний момент інформація про рівень додатків не передаватиметься. Пам'ятайте, що автентифікація Basic є частиною HTTP, а HTTP є протоколом рівня додатків. Не завдання транспортного шару.
3. Після встановлення з’єднання SSL тепер необхідні дані будуть передані серверу. тобто: шлях або URL, параметри та базове ім'я користувача та пароль для автентифікації.

Не обов'язково правда. Він буде зашифрований на дроті, однак він все ще залишається в простому тексті журналів