Безопасно ли использовать связку login:password@site.name?

Question

[Enzo S.]

Безопасно ли использовать связку http://login:password@site.name для авторизации если совсем надоело заполнять постоянно пароли на некоторых сайтах? Отличается ли этот метод по безопасности от обычного: зашёл на сайт/сервис, потом авторизировался? Что видит в таком случае мой провайдер?

Answer 1

[Алексей Немиро]

Провайдер видит все, логин и пароль.

По протоколу HTTP все данные передаются как есть, в открытом виде.

Другое дело, что ссылки подобного формата могут попасть не только в руки провайдера, но и других лиц. Трафик украсть чуток сложнее. Лучше использовать HTTPS. И рекомендуется избегать использования ссылок, в которых содержится пароль, просто для исключения ошибок со своей стороны (например, от банальной усталости или невнимательности). Простым пользователям это вообще нельзя показывать, для их же безопасности.

Answer 2

[Enzo S.]

Алексей, вы хотите сказать, что часть login:password отправляется вместе с URL? Или она является частью данных, которые каждый браузер отправляет в соответсвующие поля после того, как он открыл этот адрес?

Comments

[Алексей Немиро]

Браузер читает данные из URL и формирует на их основе HTTP-заголовок Authorization. Имя пользователя и пароль обычно кодируется в Base64 (т.е. их легко можно декодировать, если перехватить трафик): scr.foxtools.ru/2tw
Нормальный браузер, по идее должен передавать имя пользователя и пароль только если получит от сервера ответ с кодом 401, т.е. сервер запросит учетные данные. Из адреса, учетные данные должны удаляться браузером автоматически. При общении браузера с сервером, эти данные не являются частью URL.

Не все браузеры поддерживают адреса в подобном формате, как раз для повышения безопасности, чтобы пользователи не светили своими логинами и паролями.

При использовании протокола HTTPS данные передаются зашифрованном виде, надежность выше.

Однако использование ссылок, в которых содержится логин и пароль в открытом виде все равно может стать причиной утечки данных.

Про невнимательность и ошибки со стороны пользователя уже говорил. Еще возможный вариант: на компьютер пользователя можно поместить программку-вирус, которая будет ловить именно такие ссылки (в буфере или проверять адресную строку пользователя). Технически это более простое решение, чем перехватывать трафик, особенно если трафик будет зашифрованным. И это проще, чем анализировать поведение пользователя и перехватывать учетные данные, если пользователь их самостоятельно вводит (даже если используется буфер обмена). Такая программа может быть более незаметной для антивирусного ПО. В обще, лучше минимизировать риски :)

Answer 3

[SagePtr]

Современные браузеры давно уже игнорируют базовую авторизацию в URL, так что работать будет только в древних