Задать вопрос
heretic_man
@heretic_man
информационная-безопасность

Безопасно/правильно ли передавать логин и пароль в заголовке по HTTPS протоколу?

Пример запроса:
curl -H "username: user" -H "password:12345" https://mysite.com

Еще волнует вопрос можно ли прослушивая трафик перехватить эти заголовки.
Хотелось бы получить развернутый ответ про не безопасность данного подхода.

Про OAUTH и токены знаю.
  • Вопрос задан
  • 932 просмотра
1 комментарий
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
z3apa3a
@z3apa3a
Никогда не городите самопальной криптографии и методов авторизации, если вы не криптограф и не appsec-специалист соответственно, используйте стандартные подходы и проверенные библиотеки. В вашем случае надо использовать HTTP basic-авторизацию и стандартные механизмы которые ее реализуют.
Ответ написан
2 комментария
2 комментария
@vitaly_il1
DevOps Consulting
Ответ - да, правильно. Все вебсервисы это делают - Google, FB, и 99% остальных.
Это неидеально, поэтому стараются дополнить MFA (дополнительный разовый пароль) или сертификатом, но в целом ничего более надежного и легкоиспользуемого нет.
Ответ написан
Комментировать
Комментировать
asilonos
@asilonos
Программист
Если Коротко: Безопасно и это пока стандартный подход. Да перехватить пароль можно, и в зависимости от браузера, пользователь не узнает что его SSL/TLS "читает" что-то по середине.

Если Развернуто , то сейчас уже в моде использовать другой подход - на стороне браузера, при помощи JScript/Subtle crypt генерировать хеш/PBKDF от пароля и передать на сервер. Сервер в свою ичередь тоже должен генерировать с этого значения, вторичный хеш и уже его можно хранить\ искать в БД для аутентификации пользователя. А первичный хеш не в коем не хранить на сервере! но его можно использовать для других целей, например де-шифрования данных для 2ФА метода.
И раз уже твой фронт будет использовать JScript/Subtle crypt, то это открывает допольнительные возможности сквозного шифрование более широкого набора данных пользователя в режиме сквозного шифрования.

посмотри как сделан сервис mega.nz. у них опен сорс.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Архитектор ИБ
АШАН ТЕХ Москва
от 175 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Менеджер по продажам в онлайн-школу
17 апр. 2024, в 00:48
35000 руб./за проект
Сделать картинки для слов
17 апр. 2024, в 00:13
800 руб./за проект
Разработка backend python+django
17 апр. 2024, в 00:06
240000 руб./за проект
Ещё заказы