使用代理是否会暴露Authorization信息?
微wx笑
2019-08-05【随笔】
14
0关键字:
权限认证
使用代理是否会暴露Authorization信息?HTTP Basic认证每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端
使用代理是否会暴露Authorization信息?
HTTP Basic认证
每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。
用户名/密码经过Base64加码后,这个Base64码值可以轻易被解码并获得用户名/密码,所以此认证方式并不安全。为了传输安全,需要配合SSL使用。
例如如下的CURL调用:
curl -x 111.75.223.9:30646 -u alsdkfjlsfdk:sdfsldjfkl http://ivu4e.com
用于认证的用户名密码被以明文的方式发送到了代理服务器,如果代理服务器稍微做点什么手脚,是不是可以利用这个来做点什么你不希望的事情?
本文由 微wx笑 创作,采用 署名-非商业性使用-相同方式共享 4.0 许可协议,转载请附上原文出处链接及本声明。
原文链接:https://www.ivu4e.cn/blog/essay/2019-08-05/92.html
