Ist es sicher, pass-Anmeldeinformationen als nur-text in eine HTTPS-URL?

Ist es sicher, pass-Anmeldeinformationen als nur-text in eine HTTPS-URL?

https://domain.com/[email protected]&Passwd=123password

Update: So sagen wir: dies ist nicht eingegeben im browser, aber programmgesteuert generiert und beantragt wird, mit einer Anforderung POST (nicht GET-request). Ist es sicher?

Lösung:

Es ist nicht sicher, um diese Art von URL in eine GET Anfrage (D. H. die Eingabe der URL in den browser) als der angeforderte URL wird gespeichert in der browser-history und server-logs.

Jedoch, es ist sicher zu senden, als ein POST Anfrage https://domain.com/ClientLogin (z.B. ein Formular), indem Sie die Anmeldeinformationen als Teil der POST body, da die POST body werden verschlüsselt und nachdem Sie eine Verbindung zu der angeforderten URL. So, die form, die Aktion wäre https://domain.com/ClientLogin und die Formular-Feld-Werte übergeben werden, die in der POST body.

Hier sind einige links, die mir geholfen, das besser verstehen:

Antwort auf StackOverflow Frage: Sind https-URLs verschlüsselt?

Einfache Erklärung von SSL und HTTPS

Google Antworten: HTTPS - URL-Zeichenfolge selbst sicher?

HTTP Wirklich Leicht Gemacht

InformationsquelleAutor Andrew | 2010-06-30
  1. 16

    Keine. Sie werden nicht gesehen, auf der Durchreise, aber Sie werden bleiben, in:

    • browser-history
    • server-logs

    Wenn es überhaupt möglich ist, verwenden Sie den POST über HTTPS auf Authentifizierung, und legen Sie dann einen "authentifizierten" cookie, oder die Verwendung von HTTP-Digest-Authentifizierung über HTTPS, oder auch HTTP-Basic-auth über eine HTTPS - aber was immer Sie tun, nicht den geheimen/sensiblen Daten in der URL.

    Edit: als ich schrieb "benutze POST", meinte ich, "schicken Sie sensible Daten über HTTPS in der POST-Felder". Senden Sie eine POST http://example.com/ClientLogin?password=hunter2 ist genauso falsch, wie senden Sie es mit BEKOMMEN.

    TL;DR: nicht setzen Passwörter in der URL. Je.

    • Es ist also als sicher, wenn Sie übergeben der Anmeldeinformationen als Parameter in einer POST-Anforderung?
    • Wenn Sie POST-Parameter (und daher nicht in der URL), dann ja. Bearbeitet, um dies zu reflektieren.
    • Das ist, was ich versucht habe, herauszufinden. Danke!
    InformationsquelleAutor Piskvor
  2. 1

    Vorbei-login-info in der url-Parametern nicht sicher ist, auch mit SSL

    Vorbei-login-info im POST-body mit SSL als sicher angesehen wird.

    Wenn Sie SSL verwenden, sollten die HTTP-Basic-Authentifizierung. Dies ist zwar schrecklich problematisch ohne SSL, es ist nicht schlechter als die POST mit Zugangsdaten erreicht Sie, was Sie wollen, aber nicht so nach einem festgelegten standard, sondern als benutzerdefinierte Feldnamen.

    InformationsquelleAutor Taylor
Schreibe einen Kommentar