Credenciales de Autenticación Básica HTTP pasadas en URL y encriptación

Tengo una pregunta sobre las credenciales de autenticación HTTPS y HTTP.

Supongamos que aseguro una URL con Autenticación HTTP:

 AuthType Basic AuthName "Restricted Area" AuthUserFile /var/www/passwd/passwords Require user gooduser  

A continuación, accedo a esa URL desde un sistema remoto a través de HTTPS, pasando las credenciales en la URL:

 https://gooduser:secretpassword@www.example.com/webcallback?foo=bar 

¿El nombre de usuario y la contraseña se cifrarán automáticamente con SSL? ¿Es lo mismo para GET y POST? Me está costando encontrar una fuente creíble con esta información.

¿El nombre de usuario y la contraseña se cifrarán automáticamente con SSL? Es lo mismo para GET y POST

Si si si.

Toda la comunicación (salvo la búsqueda de DNS si la dirección IP del nombre de host no está en caché) se cifra cuando SSL está en uso.

Sí, será encriptado

Lo entenderás si simplemente compruebas lo que ocurre detrás de escena.

  1. El navegador o la aplicación desglosará primero la URL e intentará obtener la IP del host utilizando una consulta DNS. es decir: se realizará una solicitud DNS para encontrar la dirección IP del dominio (www.example.com). Tenga en cuenta que no se enviará ninguna otra información a través de esta solicitud.
  2. El navegador o la aplicación iniciarán una conexión SSL con la dirección IP recibida de la solicitud DNS. Los certificados se intercambiarán y esto sucede en el nivel de transporte. No se transferirá información de nivel de aplicación en este punto. Recuerde que la autenticación básica es parte de HTTP y HTTP es un protocolo de nivel de aplicación. No es una tarea de capa de transporte.
  3. Después de establecer la conexión SSL, ahora los datos necesarios se pasarán al servidor. es decir: la ruta o la URL, los parámetros y el nombre de usuario y la contraseña de autenticación básica.

No necesariamente cierto. Se encriptará en el cable, pero aún así aterrizará en el texto sin formato de los registros