https://jp.quora.com/BASIC%E8%AA%8D%E8%A8%BC%E3%81%AF%E3%81%A9%E3%81%AE%E3%81%8F%E3%82%89%E3%81%84%E5%AE%89%E5%85%A8%E3%81%A7%E3%81%99%E3%81%8B
https://medium-company.com/http%E8%AA%8D%E8%A8%BC%E6%96%B9%E6%B3%95%E3%81%AE%E7%A8%AE%E9%A1%9E%E3%81%A8%E9%81%95%E3%81%84/
https://ks888.hatenablog.com/entry/2016/05/10/130949
BASIC認証はhttps通信で使うならそこまで危険ではないが、牧歌的な認証手法であるのは確か。
Basic認証の改善版として、IDパスワードをハッシュ化して送信するDigest認証というもある。
- 平文でパスワードを送る?
httpsで通信する場合は経路自体が暗号化されているので、暗号化された状態で送られる。
httpだと平文で送られる。
- リプレイ攻撃に弱い?
httpsで通信する場合はhttpsがリプレイ攻撃耐性を持っているので、リプレイ攻撃も成立しない。
httpだと駄目。
Digest認証だとこの欠点は改善されている。(サーバ側で生成したランダム文字と通信回数をハッシュ生成に使う)
- リクエスト毎にIDとパスワードを要求する?
実際には通信ごとにIDとパスワードを送っているが、1度ログインするとブラウザを終了するまではブラウザが自動的にそれを送ってくれるので初回のみIDとパスワードを要求される。
- ログアウトできない?
できない。
ブラウザが自動的にIDとパスワードを送るのを止めるには、一度ブラウザを終了させるしかない。