【发布时间】:2011-12-14 14:26:59
【问题描述】:
我正在构建一个通过 https 提供服务的服务。
我想知道当数据“通过网络”传输时,在 curl 选项 CURLOPT_USERPWD 中传输的密码(或任何特定密钥)是否安全?
【问题讨论】:
【发布时间】:2011-12-14 14:26:59
【问题描述】:
通过 HTTPS 发送的所有数据均已加密。这意味着服务器和客户端之间的任何人都非常很难(但并非不可能)查看请求的原始数据。
如果您想完全了解使用 HTTP 基本身份验证的潜在后果,您应该完全了解 how it works。
由于 HTTP 是纯文本协议,因此非常不安全。 HTTPS 只是使用 encrypted socket 的 HTTP - 这意味着请求/响应格式本身完全没有变化。如果您可以查看请求的纯文本版本,则可以从中收集您喜欢的任何信息。但是,使用 SSL/TLS 使得查看纯文本版本变得非常困难。
HTTP Basic auth 本质上容易受到中间人攻击,并且应该永远在未加密的连接上使用,但使用 HTTPS 使其相当安全。唯一的考虑是服务器将能够以纯文本形式查看密码 - 如果您不希望这种情况发生,您应该使用Digest auth、HTTPS 或其他方式。
【讨论】:
是的,密码将不可见,因为它是通过网络加密发送的,但很可能(不完全确定)在目标网站上运行的脚本(在您的情况下为服务)将能够查看您的密码。
【讨论】: