Máy chủ HTTPD thực hiện xác thực LDAP. Cơ chế hoạt động như thế nào?

Tôi có một máy chủ HTTPD apache thực hiện xác thực LDAP. Khi người dùng truy cập vào URL http://localhost/, một trình duyệt sẽ bật lên yêu cầu nhập tên người dùng và mật khẩu.

• Tên người dùng và mật khẩu được chuyển từ trình duyệt đến máy chủ HTTPD như thế nào? Chúng có thực sự được chuyển đến máy chủ thông qua mạng không? Nếu vậy, chúng có được mã hóa không?
• Lời nhắc của trình duyệt có an toàn hơn việc nhập trực tiếp thông tin đăng nhập vào trang đăng nhập của trang web không?

Cần một lời giải thích đơn giản về cách xác thực đang hoạt động.

Sơ đồ xác thực HTTP 'Cơ bản' được mô tả trong RFC 7617.

Thông tin đăng nhập được chuyển dưới dạng tiêu đề HTTP và không được mã hóa nên việc sử dụng Xác thực cơ bản qua HTTP đơn giản mà không mã hóa là không an toàn. Nếu được sử dụng qua HTTPS, có các vấn đề khác - hãy xem phần này câu hỏi

Hai trả lời câu hỏi thứ hai của bạn:

Lời nhắc của trình duyệt có an toàn hơn việc nhập trực tiếp thông tin đăng nhập vào trang đăng nhập của trang web không?

Không.

"Dấu nhắc trình duyệt", Xác thực HTTP cơ bản, chỉ có một chất lượng đổi thưởng và cái tên nói lên tất cả, đây là sơ đồ xác thực cơ bản nhất, đơn giản nhất mà bạn có thể sử dụng.

Nhưng sự đơn giản đó không mang lại khả năng bảo mật tốt.

Nhiều trong số những thiếu sót đó nằm dưới mui xe, AlexD đã đề cập đến hầu hết trong câu trả lời này nhưng một cái gì đó thậm chí người dùng của bạn có thể nhận thấy:

• không có phương thức "đăng xuất"