Wenn ich einen Benutzernamen/Passwort in meiner settings.xml Datei für ein (Nexus) Remote-Repository mit einer HTTP (nicht HTTPS) URL habe, wird dieser Benutzername/Passwort im Klartext an der entfernte Server?Überträgt Maven Benutzernamen/Passwörter im Klartext über http
Ich frage mich, ob es ein potenzielles Sicherheitsproblem mit unserem öffentlichen HTTP-only Passwort-authentifizierten Nexus-Server gibt.
Maven verwendet die HTTP-Standardauthentifizierung zum Senden der Anmeldeinformationen. Ein typischer HTTP-Header für das sieht etwas entlang der Linien von:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Wo QWxhZGRpbjpvcGVuIHNlc2FtZQ== ist eigentlich eine Base64-codierte Darstellung Ihrer username:password Kombination. Dies bietet keinerlei Sicherheit, aber es ist auch kein Klartext.
Weitere Informationen zur HTTP-Standardauthentifizierung finden Sie unter here.
Die meisten Build-Tools wie Maven, Ant, Gradle, SBT, npm verwenden HTTP Basic. Das ist nicht so sicher wie es sein sollte. Wenn Sie es über HTTPS verwenden, können Sie sich sicherer fühlen. :)