Apache2 我的密码是否被截获(http到https)
我已将apache2配置为将虚拟主机(munin)从http重定向到https,我有如下内容:Apache2 我的密码是否被截获(http到https),apache2,Apache2,我已将apache2配置为将虚拟主机(munin)从http重定向到https,我有如下内容: cat /etc/apache2/site-enabled/default [...] # 20140619 - munin redirect http to https RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteCond %{REQUEST_URI} ^/munin/.* RewriteRule ^(.*)$ https://ser
cat /etc/apache2/site-enabled/default
[...]
# 20140619 - munin redirect http to https
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteCond %{REQUEST_URI} ^/munin/.*
RewriteRule ^(.*)$ https://server1.example.com/$1 [R,L]
[...]
munin有其默认配置
cat /etc/apache2/site-enabled/munin
Alias /munin /var/cache/munin/www
<Directory /var/cache/munin/www>
Order allow,deny
Allow from all ::1
Options None
AuthUserFile /etc/munin/munin-pass
AuthName "server1.example.com"
AuthType Digest
require valid-user
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault M310
</IfModule>
</Directory>
cat/etc/apache2/site enabled/munin
别名/munin/var/cache/munin/www
命令允许,拒绝
允许来自所有::1
选项无
AuthUserFile/etc/munin/munin pass
AuthName“server1.example.com”
AuthType摘要
需要有效用户
过期于
到期默认M310
所以,当我尝试连接(使用chrome)到浏览器时,会立即询问我的用户名和密码(我使用http连接)。插入我的凭据后(浏览器警告我不受信任的证书,没关系:我没有受信任的证书)。当我强制它使用https连接时,我需要重新插入用户名和密码,只有现在我才能看到munin页面
现在,当我(第一次)插入用户和密码时,凭证是否可以拦截?或者我在SSL隧道中?如果凭据通过HTTP传输,它们可以被拦截。如果凭据使用不受信任的证书通过HTTPS传输,则可以拦截凭据(如果用户习惯于在警告上单击“确定”,则坏人可以插入自己的证书,从而破坏SSL的全部用途)。确保安全的唯一方法是使用可信证书的HTTPS。你好,罗伯特,谢谢你的回复。我的问题不是关于拦截https。我需要了解,在我的配置中,当我第一次插入凭据时,它是否通过http传输。我不确定,因为我需要插入凭证2次。谢谢