以下 .htpasswd .htaccess 登錄 SSL 是否受保護？

我有一個使用 .htpasswd/.htaccess HTTP 身份驗證保護的目錄。在目錄的 .htaccess 文件中，我有這個：

SSLRequireSSL

<Files .htaccess>
order allow,deny
deny from all
</Files>

AuthUserFile /var/www/xyz/.htpasswd
AuthName "Restricted Area"
AuthType Basic
Require valid-user

當我轉到受保護目錄中的頁面時，我被 SSLRequireSSL 指令強制 https，這是我希望的。這意味著在我面臨登錄憑據的挑戰時，瀏覽器 (Firefox) 地址始終以 HTTPS:// 開頭。這很好，但是在我輸入憑據並進入受保護目錄中的頁面之前，SSL 指示掛鎖符號不存在。

我擔心這可能意味著我輸入的密碼在 SSL 連接形成之前以某種方式發送，因此以純文字而不是 SSL 編碼傳遞。

這是一個有效的擔憂嗎？謝謝。

不，所有內容都應該是 SSL 加密的。如果您使用的是不受信任的證書，您將能夠觀察到證書信任警告出現在登錄提示之前。

如果它在未加密的通道上，則提示您輸入憑據的初始401響應將是。403因為SSLRequireSSL已經到位，所以您絕對安全。

引用自：https://serverfault.com/questions/412772