[security] I parametri di querystring sono sicuri in HTTPS (HTTP + SSL)?


Answers

ricorda che SSL / TLS funziona con il Transport Layer, quindi tutta la criptografia si verifica sotto l'HTTP del livello di applicazione.

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

è il modo più lungo per dire "Sì!"

Question

I parametri della querystring vengono crittografati in HTTPS quando vengono inviati con una richiesta?




Non sono d'accordo con il consiglio dato qui - anche il riferimento per la risposta accettata si conclude:

Ovviamente puoi usare i parametri della stringa di query con HTTPS, ma non usarli per nulla che possa presentare un problema di sicurezza. Ad esempio, puoi tranquillamente usarli per identificare numeri di parti o tipi di display come "accountview" o "printpage", ma non li usi per password, numeri di carte di credito o altre informazioni che non dovrebbero essere pubblicamente disponibili.

Quindi, no, non sono davvero al sicuro ...!






Related