Ist es sicher, pass-Anmeldeinformationen als nur-text in eine HTTPS-URL?
Ist es sicher, pass-Anmeldeinformationen als nur-text in eine HTTPS-URL?
https://domain.com/[email protected]&Passwd=123password
Update: So sagen wir: dies ist nicht eingegeben im browser, aber programmgesteuert generiert und beantragt wird, mit einer Anforderung POST (nicht GET-request). Ist es sicher?
Lösung:
Es ist nicht sicher, um diese Art von URL in eine GET
Anfrage (D. H. die Eingabe der URL in den browser) als der angeforderte URL wird gespeichert in der browser-history und server-logs.
Jedoch, es ist sicher zu senden, als ein POST
Anfrage https://domain.com/ClientLogin
(z.B. ein Formular), indem Sie die Anmeldeinformationen als Teil der POST body
, da die POST body
werden verschlüsselt und nachdem Sie eine Verbindung zu der angeforderten URL. So, die form, die Aktion wäre https://domain.com/ClientLogin
und die Formular-Feld-Werte übergeben werden, die in der POST body
.
Hier sind einige links, die mir geholfen, das besser verstehen:
Antwort auf StackOverflow Frage: Sind https-URLs verschlüsselt?
Einfache Erklärung von SSL und HTTPS
Google Antworten: HTTPS - URL-Zeichenfolge selbst sicher?
- mögliche Duplikate von Sind https-URLs verschlüsselt?
- securityweek.com/hackers-can-intercept-https-urls-proxy-attacks
Du musst angemeldet sein, um einen Kommentar abzugeben.
Keine. Sie werden nicht gesehen, auf der Durchreise, aber Sie werden bleiben, in:
Wenn es überhaupt möglich ist, verwenden Sie den POST über HTTPS auf Authentifizierung, und legen Sie dann einen "authentifizierten" cookie, oder die Verwendung von HTTP-Digest-Authentifizierung über HTTPS, oder auch HTTP-Basic-auth über eine HTTPS - aber was immer Sie tun, nicht den geheimen/sensiblen Daten in der URL.
Edit: als ich schrieb "benutze POST", meinte ich, "schicken Sie sensible Daten über HTTPS in der POST-Felder". Senden Sie eine
POST http://example.com/ClientLogin?password=hunter2
ist genauso falsch, wie senden Sie es mit BEKOMMEN.TL;DR: nicht setzen Passwörter in der URL. Je.
Vorbei-login-info in der url-Parametern nicht sicher ist, auch mit SSL
Vorbei-login-info im POST-body mit SSL als sicher angesehen wird.
Wenn Sie SSL verwenden, sollten die HTTP-Basic-Authentifizierung. Dies ist zwar schrecklich problematisch ohne SSL, es ist nicht schlechter als die POST mit Zugangsdaten erreicht Sie, was Sie wollen, aber nicht so nach einem festgelegten standard, sondern als benutzerdefinierte Feldnamen.