如果我的settings.xml文件中有一个带有HTTP(非HTTPS)URL的(Nexus)远程存储库的用户名/密码,该用户名/密码是否会以明文形式发送到远程服务器?
我想知道我们面向公众的仅限密码验证的Nexus服务器是否存在潜在的安全问题。
答案 0 :(得分:3)
Maven使用HTTP基本身份验证来发送凭据。一个典型的HTTP标题看起来像是:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
QWxhZGRpbjpvcGVuIHNlc2FtZQ==实际上是username:password组合的Base64编码表示。这不提供任何安全性,但它也不是纯文本。
有关HTTP基本身份验证的详细信息,您可以查看here。
Maven,Ant,Gradle,SBT,npm等大多数构建工具都使用HTTP Basic。这并不像它应该的那样安全。通过HTTPS使用它可以让您感觉更安全。 :)