Ik houd wel van een grapje, maar in dit geval wil ik echt weten of en wanneer inloggegevens via http gecodeerd zijn.
Volgens mij heb ik verschillende argumenten geleverd dat de inlog op dit forum is gecodeerd, of via de header of via het inlogvenster van dit forum.
Zoals op veel plaatsen wordt op
https://security.stackexchange.com/ques ... n-via-http ook hevig gediscussieerd over de veilige inlog via http en https. In reactie nr 20 staat kort omschreven welke beveiliging in http kan worden gebruikt.
In
https://tools.ietf.org/html/rfc2617#ref-5 staat precies omschreven wat http inhoudt en hoe de beveiliging werkt.
In
https://en.wikipedia.org/wiki/Basic_acc ... entication staat over HTTP Basic authentication (BA) "They are merely encoded with Base64 in transit, but not encrypted or hashed in any way." en meer wetenswaardigheden.
In
https://en.wikipedia.org/wiki/Digest_ac ... entication wordt beschreven wat Digest access authentication in http betekend.
In
https://en.wikipedia.org/wiki/List_of_H ... der_fields staat beschreven wat in een http header kan worden geplaatst.
In
https://developer.mozilla.org/en-US/doc ... entication staat weer "In the case of a "Basic" authentication like shown in the figure, the exchange must happen over an HTTPS (TLS) connection to be secure.", waarbij het voor mij onduidelijk is hoe dat in http wordt geïmplementeerd.
In
https://docs.microsoft.com/en-us/dotnet ... entication wordt nog NTLM en Negotiate beschreven.
Dat de inhoud van http zichtbaar kan worden gemaakt heb ik nooit betwijfelt.
Dat de inhoud via https veiliger is dan http betwijfel ik niet, maar dat het
ook niet veilig is wordt dagelijks door de praktijk bewezen.
Al met al een,
in het algemeen, niet makkelijk te beantwoorden onderwerp. Daarnaast worden loggegevens vaker door fishing of valse sites verkregen en zijn er ook issues met uitloggen.