236
¿Los parámetros de la cadena de consulta se cifran en HTTPS cuando se envían con una solicitud?¿Los parámetros de la cadena de consulta están seguros en HTTPS (HTTP + SSL)?
A
Respuesta
272
Sí. La cadena de consulta también está encriptada con SSL. Sin embargo, como muestra this article, no es una buena idea colocar información sensible en la URL. Por ejemplo:
URL se almacenan en los registros del servidor web - normalmente toda la URL de cada solicitud se almacena en un registro del servidor. Esto significa que los datos sensibles en la URL (por ejemplo, una contraseña) está siendo guardan en texto sin cifrar en el servidor
+7
La clave API es un token de corta duración, por lo general válido por una hora o un mes (para servicios similares y similares), pero si hubiera una brecha de esa magnitud, invalidaría TODOS los tokens pendientes. Todos tienen que volver a autenticarse, usando sus (presumiblemente) contraseñas seguras. –
+1
FYI para usuarios de Rails ... las cadenas de consulta se filtran además de los parámetros de POST cuando se especifica 'config.filter_parameters' http://stackoverflow.com/questions/2062405/filtering-parts-or-all-of-request-url -from-rails-logs – colllin
36
toda la transmisión, incluyendo la cadena de consulta, sobre la URL completa, e incluso el tipo de solicitud (GET, POST, etc.) se cifra al usar HTTPS.
+8
** ¡Atención! ** Incluso si toda la URL está encriptada, ¡el nombre de host se puede ver durante el intercambio inicial de SSL justo antes de la transmisión encriptada! –
97
recuerde, SSL/TLS opera en la capa de transporte, por lo que todo el cripto goo ocurre bajo la capa HTTP de la capa de aplicación.
http://en.wikipedia.org/wiki/File:IP_stack_connections.svg
que es el camino más largo de decir, "Sí!"
3
estoy de acuerdo con los consejos que aquí - incluso la referencia para la respuesta aceptada concluye:
Por supuesto, puede parámetros de cadena de consulta con el uso de HTTPS, pero no utilizarlos para cualquier cosa que pudiera presentar un problema de seguridad Por ejemplo, puede usarlos de manera segura para identificar números de parte o tipos de visualización como 'accountview' o 'printpage', pero no los use para las contraseñas , números de tarjeta de crédito u otra información que no debe publicarse disponible.
Así que, no, no son realmente seguros ...!
+28
Todas las respuestas coinciden en cuán seguras son, y la pregunta no era si son "seguras". Era si los parámetros GET están encriptados en HTTPS. Que se responde, junto con las advertencias que cites. No sé lo que su respuesta está tratando de agregar aquí en relación con la pregunta, ya que es vaga y derivada. –
Cuestiones relacionadas
- 1. Como lee los parámetros de la cadena de consulta HTTP
- 2. HTTP, HTTPS, SSL compartido y SEO
- 3. ¿Los controladores de eventos no están seguros?
- 4. ¿Están seguros los clientes de JAX-WS?
- 5. Agregar los parámetros de la cadena de consulta a link_to
- 6. ¿Es segura una cadena de consulta HTTPS?
- 7. Nginx - redirigir de https a http sin certificado SSL
- 8. Django y parámetros de cadena de consulta
- 9. Cómo eliminar los parámetros de params en blanco de la cadena de consulta
- 10. Backbone.js: urlRoot con cadena de consulta http?
- 11. ¿Están las consultas preparadas por PHP MySQLi con los parámetros enlazados seguros?
- 12. Selenium y HTTPS/SSL
- 13. consulta de nombres de los parámetros de cadena para SEO
- 14. ¿El orden de los parámetros de cadena de consulta afecta a los objetos en caché?
- 15. Diferencia entre HTTPS y SSL
- 16. Cordova/PhoneGap iOS HTTPS/SSL issues
- 17. HTTP y HTTPS iframe
- 18. HTTPS, ruta URL, y la cadena de consulta
- 19. ASIHTTPRequest: https con SSL
- 20. Django: Convertir los parámetros de una solicitud POST en la cadena de consulta
- 21. HTTP URL - caracteres permitidos en los nombres de los parámetros
- 22. jQuery cadena de consulta acumulación http
- 23. ¿Pasar los parámetros de la cadena de consulta sin utilizar las convenciones de OData?
- 24. ¿Cuál es la forma correcta de separar los parámetros de cadena de consulta en una url?
- 25. Forzar SSL/HTTPS con mod_rewrite
- 26. ¿Qué caracteres no son seguros en las cadenas de consulta?
- 27. Obtener los parámetros de consulta individuales de Uri
- 28. rieles redirect_to https, manteniendo todos los parámetros
- 29. Codificar/ofuscar los parámetros HTTP
- 30. despegar el protocolo HTTP o HTTPS de una cadena JavaScript
Duplicado de http://stackoverflow.com/questions/893959/if-you-use-https-will-your-url-params-wind-be-safe-from-sniffing –
posible duplicado de [Es un HTTPS cadena de consulta segura?] (http://stackoverflow.com/questions/323200/is-an-https-query-string-secure) – andand
http://www.securityweek.com/hackers-can-intercept-https-urls -proxy-attacks – Tom