我使用mod_auth_basic来限制对SSL文件夹的访问,密码是以明文形式传输的吗?
我需要使用mod_auth_digest吗?
答案 0 :(得分:2)
取决于你的意思"作为明文"。在HTTP基本身份验证交换中,密码以明文形式发送(编码为base64)。但整个交换通过加密的SSL连接进行隧道传输,因此您无法通过观察流量来查看它们。 (除非您已经成功破坏了SSL连接并且可以看到所有流量。)通过HTTPS / SSL进行基本身份验证时,另一端的服务器仍然可以将您的密码视为明文,但它是足以防止中间人窃听。
答案 1 :(得分:1)
我使用mod_auth_basic来限制对SSL文件夹的访问,密码是以明文形式传输的吗?
是。它在SSL / TLS隧道中的 中传输。
我需要使用mod_auth_digest吗?
这通常也是一个问题。
问题是任何接受证书回答的人都会被接受。更准确地说,隧道缺少"频道绑定",其中app身份验证是频道设置的一部分。因此,如果有人拦截通信(即代理)或冒充服务器(网络钓鱼),那么您发送给他/她password或MD5(password)。
最好使用SSL / TLS协议,如TLS-SRP或TLS-PSK。每个人都使用密码之类的共享秘密,并且每个都正确地绑定了频道。并且两者都不做愚蠢的事情,比如把密码放在纯文本的线上。
您可以在Peter Gutmann的Enginerring Security中阅读有关这些问题和解决方案的更多信息。