我有一个使用 .htpasswd/.htaccess HTTP 身份验证保护的目录。在该目录的 .htaccess 文件中,我有以下内容:
SSLRequireSSL
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/xyz/.htpasswd
AuthName "Restricted Area"
AuthType Basic
Require valid-user
当我访问受保护目录中的页面时,SSLRequireSSL 指令强制我使用 https,这正是我希望的。这意味着,当我被要求输入登录凭据时,浏览器(Firefox)地址始终以 HTTPS:// 开头。这很好,但直到我输入凭据并进入受保护目录中的页面后,指示 SSL 的挂锁符号才会出现。
我担心这可能意味着我输入的密码在 SSL 连接形成之前以某种方式发送,因此以纯文本而不是 SSL 编码传递。
这是一个合理的担忧吗?谢谢。
答案1
不,所有证书都应该是 SSL 加密的。如果您使用的是不受信任的证书,您将能够观察到在登录提示之前出现证书信任警告。
如果是在未加密的通道上,则提示您输入凭据的初始401响应将是。由于已设置,因此您绝对安全。403SSLRequireSSL