Kredensial Otentikasi HTTP Dasar diteruskan dalam URL dan enkripsi

Saya memiliki pertanyaan tentang kredensial HTTPS dan HTTP Authentication.

Misalkan saya mengamankan URL dengan Otentikasi HTTP:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

Saya kemudian mengakses URL itu dari sistem jarak jauh melalui HTTPS, meneruskan kredensial di URL:

https://gooduser:[email protected]/webcallback?foo=bar

Akankah nama pengguna dan kata sandi dienkripsi secara otomatis SSL? Apakah hal yang sama berlaku untuk GET dan POST? Saya mengalami kesulitan menemukan sumber yang kredibel dengan informasi ini.

Akankah nama pengguna dan kata sandi dienkripsi secara otomatis SSL? Apakah hal yang sama berlaku untuk GET dan POS

Ya ya ya.

Seluruh komunikasi (simpan untuk pencarian DNS jika IP untuk nama host belum di-cache) dienkripsi ketika SSL sedang digunakan.

Ya, itu akan dienkripsi.

Anda akan memahaminya jika Anda cukup memeriksa apa yang terjadi di balik layar.

1. Browser atau aplikasi pertama-tama akan memecah URL dan mencoba untuk mendapatkan IP host menggunakan DNS Query. yaitu: Permintaan DNS akan dilakukan untuk menemukan alamat IP domain (www.example.com). Harap dicatat bahwa tidak ada informasi lain yang akan dikirim melalui permintaan ini.
2. Browser atau aplikasi akan memulai koneksi SSL dengan alamat IP yang diterima dari permintaan DNS. Sertifikat akan dipertukarkan dan ini terjadi di tingkat transportasi. Tidak ada informasi level aplikasi yang akan ditransfer pada saat ini. Ingat bahwa otentikasi Dasar adalah bagian dari HTTP dan HTTP adalah protokol tingkat aplikasi. Bukan tugas layer transport.
3. Setelah membuat koneksi SSL, sekarang data yang diperlukan akan diteruskan ke server. yaitu: Path atau URL, parameter dan otentikasi dasar nama pengguna dan kata sandi.

Belum tentu benar. Ini akan dienkripsi pada kabel tetapi masih mendarat di log teks biasa