Строка запроса HTTPS безопасна?
7 ответов
Да, это. , Но использование ДОБИРАЮТСЯ для уязвимых данных, плохая идея по нескольким причинам:
- Главным образом утечка ссылающегося домена HTTP (внешнее изображение на целевой странице могло бы пропустить пароль [1])
- Пароль будет сохранен в журналах сервера (который очевидно плох)
- кэши Истории в браузерах
Поэтому даже при том, что Querystring защищается, не рекомендуется передать уязвимые данные по querystring.
[1], Хотя я должен отметить, что RFC указывает, что браузер не должен отправлять ссылающиеся домены от HTTPS до HTTP. Но это не означает плохую стороннюю панель инструментов браузера, или внешнее изображение/флэш-память от сайта HTTPS не пропустит ее.
От "сниффинга сетевой пакет" точка зрения ПОЛУЧИТЬ запрос безопасен, поскольку браузер сначала установит безопасное соединение и затем отправит запрос, содержащий ПОЛУЧИТЬ параметры. Но ДОБЕРИТЕСЬ, URL будет сохранен в пользовательской истории браузера / автоматическое заполнение, которое не является хорошим местом для хранения, например, данные пароля в. Конечно, это только применяется при взятии более широкого определения "Веб-сервиса", которое могло бы получить доступ к сервису от браузера, если Вы получаете доступ к нему только из Вашего пользовательского приложения, это не должно быть проблемой.
Настолько использующее сообщение, по крайней мере, для диалоговых окон пароля должно быть предпочтено. Также, как указано в ссылке littlegeek отправил ПОЛУЧИТЬ URL, более вероятно, будет записан в Ваши журналы сервера.
Да. Весь текст сессии HTTPS защищается SSL. Это включает запрос и заголовки. В этом отношении POST и ПОЛУЧАТЬ были бы точно тем же.
относительно безопасности Вашего метода, нет никакого реального способа сказать без надлежащего контроля.
SSL сначала соединяется с хостом, таким образом, имя хоста и номер порта передаются как открытый текст. Когда хост отвечает, и проблема успешно выполняется, клиент зашифрует Запрос HTTP с фактическим URL (т.е. что-либо после третьей наклонной черты) и и отправит его на сервер.
существует несколько способов повредить эту безопасность.
возможно настроить прокси для действия как "человек в середине". В основном браузер отправляет запрос для соединения с реальным сервером к прокси. Если прокси будет настроен этот путь, он соединится через SSL с реальным сервером, но браузер будет все еще говорить с прокси. Таким образом, если взломщик может получить доступ прокси, он видит все данные, которые текут через него в открытом тексте.
Ваши запросы также будут видимы в истории браузера. Пользователи могли бы испытать желание отметить сайт. У некоторых пользователей есть установленные инструменты синхронизации закладки, таким образом, пароль мог закончиться на deli.ci.us или некотором другом месте.
Наконец, кто-то, возможно, взломал Ваш компьютер и установил регистратор клавиатуры или экранный скребок (и много вирусов типа Троянского коня делает). Так как пароль видим непосредственно на экране (в противоположность "*" в диалоговом окне пароля), это - другая дыра в системе безопасности.
Заключение: Когда дело доходит до безопасности всегда полагайтесь на проторенный путь. Существует только слишком много, что Вы не знаете, не будет думать и который повредит Вашу шею.
Я не согласовываю с оператором [приблизительно 113] [...] утечку ссылающегося домена HTTP (внешнее изображение на целевой странице могло бы пропустить пароль) в ответ Топи .
RFC HTTP 1.1 явно указывает :
Клиенты не ДОЛЖНЫ включать поле заголовка Referer в (незащищенный) Запрос HTTP, если бы относящаяся страница была передана с защищенным протоколом.
Так или иначе, журналы сервера и история браузера являются больше, чем достаточные причины не поместить уязвимые данные в строку запроса.
Да, пока никто не смотрит через Ваше плечо в мониторе.
Да, с момента на Вас устанавливают Подключение HTTPS, все безопасно. Строка запроса (ДОБИРАЕТСЯ), когда POST отправляется по SSL.