Eu tenho um diretório que eu tenho protegido usando a autenticação HTTP .htpasswd / .htaccess. No arquivo .htaccess para o diretório eu tenho isso:
SSLRequireSSL
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/xyz/.htpasswd
AuthName "Restricted Area"
AuthType Basic
Require valid-user
Quando eu vou para uma página no diretório protegido, sou forçada a https pela diretiva SSLRequireSSL, que é como eu esperava. Isso significa que, no momento em que sou desafiado por credenciais de login, o endereço do navegador (Firefox) sempre começa com HTTPS: //. Isso é ótimo, mas o símbolo de cadeado com indicação de SSL não está presente até que eu insira as credenciais e insira a página no diretório protegido.
Estou preocupado que isso possa significar que a senha digitada está de alguma forma sendo enviada antes que a conexão SSL seja formada e, portanto, seja passada em texto sem formatação em vez de codificada por SSL.
Esta é uma preocupação válida? Obrigado.
Não, todos devem ser criptografados por SSL. Se você estivesse usando um certificado não confiável, seria possível observar que o aviso de confiança do certificado aparece antes do prompt de login.
A resposta 401 inicial que solicita suas credenciais seria um 403 se estivesse em um canal não criptografado. Como o SSLRequireSSL está no lugar, você está definitivamente seguro.