1. Inicio
  2. Pregunta y respuesta
  3. HTTPS, ruta URL, y la cadena de consulta

HTTPS, ruta URL, y la cadena de consulta

2010-08-25 18 views
12

Este es un post seguimiento de mi previous question about BASIC auth over HTTPSHTTPS, ruta URL, y la cadena de consulta

son el camino a la cadena de recursos y la consulta que se pasa de forma segura con el servidor si uso de HTTPS?

es decir
URI:http://server/path/to/a/resource?with=a&query=string
Servidor: servidor
ruta:/ruta/a/a/recurso
cadena consulta: con = a & consulta = cadena

Fuente

2010-08-25 Afriza N Arief

+0

Relacionado: ¿Hay una cadena de consulta HTTPS segura? http://stackoverflow.com/questions/323200/is-a-https-query-string-secure?rq=1 –

Respuesta

15

Esta es una muy buena explicación de esto: http://answers.google.com/answers/threadview/id/758002.html#answer

Resumen: solo el host y el puerto serían visibles sin cifrar.

En resumen, sí. Pero no debe almacenar datos confidenciales en las URL ya que pueden estar visibles en el historial de navegadores y en los archivos de registro del servidor. Y cualquiera que mire por encima del hombro también lo ve.

Fuente

2010-08-25 08:09:05 Lekensteyn

1

HTTPS es simplemente HTTP tunelizado a través de una conexión SSL. Esto significa que la solicitud, la respuesta, los encabezados y el contenido están todos dentro del túnel SSL y, por lo tanto, deben cifrarse.

Fuente

2010-08-25 08:10:53

10

Sí, es - toda la sesión está asegurada y encriptada para que todo lo que envíe, incluida la cadena de consulta, no se pueda leer.

Puede probar esto a sí mismo, si lo desea, utilizando algo como Fiddler para ver el tráfico http/https que genera cuando visita una url segura. Cualquier cosa que usted envíe a través de HTTPS no se mostrará la cadena de consulta, como se muestra aquí:

alt text

La URL real yo estaba de visita se veía así:

https://www.halifax-online.co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=

Según otra respuestas, no debe pasar ninguna información sensible en la cadena de consulta, ya que esto puede almacenarse en los archivos de registro de su servidor web, por lo que, si estuviera pasando una combinación de nombre de usuario/contraseña, cualquiera que pudiera ccess sus registros podrían capturar esa información. Esto podría permitir que alguien inicie sesión en su sitio/aplicación como si fuera otra persona, incluso si estuviera haciendo esfuerzos tales como almacenar contraseñas en su base de datos como hash salados, en lugar de texto sin formato.

Fuente

2010-08-25 08:10:54 Rob

Cuestiones relacionadas

 Cuestiones relacionadas