[Ssl] क्या एक HTTPS क्वेरी स्ट्रिंग सुरक्षित है?


Answers

"नेटवर्क पैकेट को स्नीफ करें" बिंदु से एक जीईटी अनुरोध सुरक्षित है, क्योंकि ब्राउजर पहले सुरक्षित कनेक्शन स्थापित करेगा और फिर जीईटी पैरामीटर वाले अनुरोध को भेज देगा। लेकिन यूआरएल को उपयोगकर्ता ब्राउज़र इतिहास / स्वत: पूर्ण में संग्रहीत किया जाएगा, जो कि पासवर्ड डेटा जैसे स्टोर करने के लिए एक अच्छी जगह नहीं है। बेशक यह केवल तब लागू होता है जब आप व्यापक "वेबसाइट सेवा" परिभाषा लेते हैं जो ब्राउज़र से सेवा तक पहुंच सकता है, यदि आप इसे केवल अपने कस्टम एप्लिकेशन से एक्सेस करते हैं तो यह कोई समस्या नहीं होनी चाहिए।

इसलिए पासवर्ड संवाद के लिए कम से कम पोस्ट का उपयोग करना पसंद किया जाना चाहिए। साथ ही लिंक गेटेक में पोस्ट किए गए एक जीईटी यूआरएल को आपके सर्वर लॉग में लिखा जाने की अधिक संभावना है।

Question

मैं एक सुरक्षित वेब आधारित एपीआई बना रहा हूं जो HTTPS का उपयोग करता है; हालांकि, अगर मैं उपयोगकर्ताओं को इसे कॉन्फ़िगर करने की अनुमति देता हूं (क्वेरी भेजना शामिल है) क्वेरी स्ट्रिंग का उपयोग करके यह भी सुरक्षित होगा या क्या मुझे इसे POST के माध्यम से करने के लिए मजबूर होना चाहिए?




एसएसएल पहले मेजबान से जुड़ता है, इसलिए मेजबान का नाम और पोर्ट नंबर स्पष्ट टेक्स्ट के रूप में स्थानांतरित किया जाता है। जब होस्ट प्रतिसाद देता है और चुनौती सफल होती है, तो क्लाइंट HTTP अनुरोध को वास्तविक यूआरएल (यानी तीसरे स्लैश के बाद कुछ भी) के साथ एन्क्रिप्ट करेगा और इसे सर्वर पर भेज देगा।

इस सुरक्षा को तोड़ने के कई तरीके हैं।

एक "मध्य में आदमी" के रूप में कार्य करने के लिए प्रॉक्सी को कॉन्फ़िगर करना संभव है। असल में, ब्राउज़र प्रॉक्सी को वास्तविक सर्वर से कनेक्ट करने का अनुरोध भेजता है। यदि प्रॉक्सी इस तरह से कॉन्फ़िगर किया गया है, तो यह SSL के माध्यम से वास्तविक सर्वर से कनेक्ट होगा लेकिन ब्राउज़र अभी भी प्रॉक्सी से बात करेगा। तो यदि कोई हमलावर प्रॉक्सी तक पहुंच प्राप्त कर सकता है, तो वह स्पष्ट डेटा में इसके माध्यम से बहने वाले सभी डेटा देख सकता है।

आपके अनुरोध ब्राउज़र इतिहास में भी दिखाई देंगे। उपयोगकर्ता साइट को बुकमार्क करने के लिए लुभाने वाले हो सकते हैं। कुछ उपयोगकर्ताओं के पास बुकमार्क सिंक टूल्स स्थापित हैं, इसलिए पासवर्ड deli.ci.us या किसी अन्य स्थान पर समाप्त हो सकता है।

आखिरकार, किसी ने आपके कंप्यूटर को हैक किया हो और कीबोर्ड लॉगर या स्क्रीन स्क्रैपर स्थापित किया हो (और बहुत सारे ट्रोजन हॉर्स प्रकार वायरस करते हैं)। चूंकि पासवर्ड सीधे स्क्रीन पर दिखाई देता है (चूंकि पासवर्ड डायलॉग में "*" के विपरीत), यह एक और सुरक्षा छेद है।

निष्कर्ष: जब सुरक्षा की बात आती है, तो हमेशा पीटा पथ पर भरोसा करें। वहां बहुत कुछ है जिसे आप नहीं जानते हैं, इस बारे में नहीं सोचेंगे और आपकी गर्दन तोड़ देगा।




हां, इस समय से आप एक HTTPS कनेक्शन स्थापित करते हैं, हर चीज सुरक्षित है। POST के रूप में क्वेरी स्ट्रिंग (GET) SSL पर भेजी जाती है।




हां, जब तक कोई भी मॉनिटर पर आपके कंधे पर नहीं देख रहा है।