Questo dipende interamente dal fatto che si tratti di una richiesta HTTPS o HTTP. In generale, le richieste di autenticazione HTTP vengono inviate in quello che viene chiamato "equivalente in testo normale". È codificato in Base-64, che è facilmente reversibile, quindi è fondamentalmente in chiaro - il che significa che non è sicuro.
Alcuni browser, come Internet Explorer, dispongono di alcune estensioni per consentire l'invio di password "sicure" ai server che comprendono e possono decodificarle. Ciò significa in genere IIS in esecuzione in un ambiente di dominio. Ho messo le virgolette tra virgolette perché, come fa la maggior parte delle cose, la quantità di sicurezza vera è spesso messa in discussione.
Se si utilizza HTTPS, la password viene comunque inviata allo stesso modo, ma poiché passa su un trasporto sicuro non importa se la password è trasparente o no, poiché il trasporto la sta codificando.
fonte
2009-02-19 10:51:03
Rimosso il mio !! mi ha battuto di pochi milli secondi :) – Shoban
Sì, lo so che cripta. E ho anche una vaga idea che usano la crittografia a chiave pubblica ma potrei sbagliarmi. Puoi spiegare in dettaglio? – Srikanth
@Srikanth: il server invia al client il suo certificato e la chiave pubblica. Il client verifica che si fidi del certificato e crei una chiave simmetrica per la conversazione. Quindi il client crittografa la chiave simmetrica utilizzando la chiave pubblica del server e la invia al server. –