Ssl
以下 .htpasswd .htaccess 登錄 SSL 是否受保護?
我有一個使用 .htpasswd/.htaccess HTTP 身份驗證保護的目錄。在目錄的 .htaccess 文件中,我有這個:
SSLRequireSSL <Files .htaccess> order allow,deny deny from all </Files> AuthUserFile /var/www/xyz/.htpasswd AuthName "Restricted Area" AuthType Basic Require valid-user
當我轉到受保護目錄中的頁面時,我被 SSLRequireSSL 指令強制 https,這是我希望的。這意味著在我面臨登錄憑據的挑戰時,瀏覽器 (Firefox) 地址始終以 HTTPS:// 開頭。這很好,但是在我輸入憑據並進入受保護目錄中的頁面之前,SSL 指示掛鎖符號不存在。
我擔心這可能意味著我輸入的密碼在 SSL 連接形成之前以某種方式發送,因此以純文字而不是 SSL 編碼傳遞。
這是一個有效的擔憂嗎?謝謝。
不,所有內容都應該是 SSL 加密的。如果您使用的是不受信任的證書,您將能夠觀察到證書信任警告出現在登錄提示之前。
如果它在未加密的通道上,則提示您輸入憑據的初始
401
響應將是。403
因為SSLRequireSSL
已經到位,所以您絕對安全。