Kod:
GET /admin-panel HTTP/1.1 Authentication: Basic ZGVtbzpleGFtcGxl Host: siteadresi.com
HTTP protokolü, daha akıllı kardeşi olan HTTPS’den farklı olarak şifrelenmez. Bu da internette bulunan herkesin gönderdiğiniz her ne olursa olsun görebildiğini varsayabileceğimiz anlamına gelir. Doküman koleksiyonum hassas bilgi değilken, isteği yaptığımda kimlik doğrulama başlığında benim kimlik bilgilerimi göndermiş oldum; bu da benim kimlik bilgilerimi kötü niyetli bilgisayar korsanlarına veriyor olabileceğim anlamına geliyor, çünkü şifrelenmemiş istek ile yapılan bu işlem oldukça kolay bir şekilde istismar edilebilir.
İster aynı kafede oturuyor olun isterseniz dünyanın bir ucunda olun, kimlik bilgileriniz HTTPS dışında tamamen görülebileceği gibi kolayca parlolalarınız çözülecektir Base64 bir şifreleme aracı kesinlikle değildir! Bu nedenle HTTP üzerinden temel kimlik doğrulamasını asla kullanmamalısınız! temel kimlik doğrulama yalnızca HTTPS üzerinden düşünülmeli ve kullanılmalıdır.
Peki HTTPS üzerinden kullanılan temel kimlik doğrulama işlemi yeterlimidir ?
Aslında hayır. Ama bu durum gerçekten sitenizin neye ve ne kadar güvenli olması durumuna bağlıdır. Parola her istek için tekrar tekrar gönderilebilir. Parola, web tarayıcısı tarafından, en azından işlem uzunluğu boyunca ön belleğe alınır. Buda sunucuya yapılan başka herhangi bir istekle sessizce yeniden kullanılabilir olabileceği anlamına gelir.
HTTPS kullanılması durumu bunlardan sadece bir tanesini çözer. Yani web sunucusundan istek gelene kadar korur herhangi bir iç yönlendirme, sunucu log vb. alanlarda parolalarınız düz metin olarak gözükür.