Задать вопрос
heretic_man
@heretic_man
информационная-безопасность

Безопасно/правильно ли передавать логин и пароль в заголовке по HTTPS протоколу?

Пример запроса:
curl -H "username: user" -H "password:12345" https://mysite.com

Еще волнует вопрос можно ли прослушивая трафик перехватить эти заголовки.
Хотелось бы получить развернутый ответ про не безопасность данного подхода.

Про OAUTH и токены знаю.
  • Вопрос задан
  • 1423 просмотра
1 комментарий
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
z3apa3a
@z3apa3a
Никогда не городите самопальной криптографии и методов авторизации, если вы не криптограф и не appsec-специалист соответственно, используйте стандартные подходы и проверенные библиотеки. В вашем случае надо использовать HTTP basic-авторизацию и стандартные механизмы которые ее реализуют.
Ответ написан
2 комментария
2 комментария
@vitaly_il1
DevOps Consulting
Ответ - да, правильно. Все вебсервисы это делают - Google, FB, и 99% остальных.
Это неидеально, поэтому стараются дополнить MFA (дополнительный разовый пароль) или сертификатом, но в целом ничего более надежного и легкоиспользуемого нет.
Ответ написан
Комментировать
Комментировать
asilonos
@asilonos
Программист
Если Коротко: Безопасно и это пока стандартный подход. Да перехватить пароль можно, и в зависимости от браузера, пользователь не узнает что его SSL/TLS "читает" что-то по середине.

Если Развернуто , то сейчас уже в моде использовать другой подход - на стороне браузера, при помощи JScript/Subtle crypt генерировать хеш/PBKDF от пароля и передать на сервер. Сервер в свою ичередь тоже должен генерировать с этого значения, вторичный хеш и уже его можно хранить\ искать в БД для аутентификации пользователя. А первичный хеш не в коем не хранить на сервере! но его можно использовать для других целей, например де-шифрования данных для 2ФА метода.
И раз уже твой фронт будет использовать JScript/Subtle crypt, то это открывает допольнительные возможности сквозного шифрование более широкого набора данных пользователя в режиме сквозного шифрования.

посмотри как сделан сервис mega.nz. у них опен сорс.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист отдела информационной безопасности
Cloud4Y Ярославль
До 230 000 ₽
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка алгоритма на python (Data engineering)
21 нояб. 2024, в 23:30
300000 руб./за проект
Верстка Flutter + API
21 нояб. 2024, в 22:21
3000 руб./в час
Разработать Custom Speech-to-text Operator на Apache Flink
21 нояб. 2024, в 21:42
100000 руб./за проект
Ещё заказы