L'hosting di un reindirizzamento http-https consente la perdita dell'autenticazione di base http?

1

Stavo solo riflettendo su come l'autenticazione di base HTTP viene inviata ad ogni richiesta, spesso desidero utilizzare i reindirizzamenti http-to-https quando possibile per la migliore esperienza utente (siamo arrivati al posto dei browser che cercavano https per impostazione predefinita senza htst ancora?); anche se mi veniva da pensare che se una particolare risorsa utilizzava l'autenticazione di base http e disponeva anche di una porta http aperta, non è impensabile che le credenziali di autenticazione di base http possano essere inviate lì come succede con gli umani gestiscono le misure di sicurezza con i loro < em> solito livello di grazia.

Mi piacerebbe sentirmi dire "no, nessun browser ragionevole, lo sviluppatore di strumenti o software invierà l'autenticazione di base su un semplice http più" e quella prevenzione è stata introdotta in modo da richiedere un inutile sforzo per aggirare. ma penso che le risorse di autenticazione di base http non dovrebbero avere la porta 80 httpd disponibile per gli esseri umani.

    
posta ThorSummoner 10.01.2018 - 02:25
fonte

1 risposta

2

Questo è probabilmente dipendente dal browser in quanto è correlato a un componente di gestione password che non è standardizzato. È anche dipendente dal software di terze parti poiché alcuni gestori di password sono forniti da terze parti.

L'ho provato su ESR di Firefox 52 utilizzando un gestore di password integrato e utilizza lo schema come parte della query di autenticazione. Pertanto, se hai memorizzato le credenziali utilizzando lo schema https: //, non verranno inviate con lo schema http: // e viceversa.

Chromium 63 ha esattamente lo stesso comportamento.

Nota che dipende dallo schema, non dalla porta: puoi avere link o link

    
risposta data 10.01.2018 - 08:16
fonte

Leggi altre domande sui tag