Ich entwickle eine Client/Server-App, die über REST kommunizieren wird. Einige benutzerdefinierte Anfragedaten werden im Header der Anfrage gespeichert. Sowohl der sendende als auch der empfangende Server verfügen über ein SSL-Zertifikat - werden die Header verschlüsselt oder nur der Inhalt?
SSL verschlüsselt den gesamten Kommunikationsweg vom Client zum Server und zurück, daher werden ja - die Header verschlüsselt sein.
Übrigens, wenn Sie netzwerkfähige Anwendungen entwickeln und Wert auf Datensicherheit legen, sollten Sie mindestens ein Buch wie Practical Cryptography von Niels Ferguson und Bruce Schneier lesen, und wahrscheinlich weiterführende Literatur, die sich mehr auf die Sicherheit von Webanwendungen konzentriert, wäre eine gute Idee. Wenn ich eine Beobachtung machen darf - und bitte, das ist nicht als persönliche Kritik gemeint - Ihre Frage zeigt ein grundsätzliches Verständnis für sehr grundlegende Web-Sicherheitstechnologien, und das ist nie ein gutes Zeichen.
Außerdem ist es nie eine schlechte Idee, zu bestätigen, dass Daten, die als verschlüsselt angesehen werden, tatsächlich verschlüsselt sind. Sie können einen Netzwerkanalysator verwenden, um den Datenverkehr auf dem Draht zu überwachen und darauf achten, dass nichts Sensibles im Klartext gesendet wird. Ich habe schon Wireshark dafür verwendet - die Ergebnisse können manchmal überraschend sein.
Vielen Dank, das wird sehr geschätzt. Ich war zuversichtlich in der Antwort, aber wir müssen dies bestätigt bekommen (für die höheren Instanzen), bevor wir mit der Entwicklung beginnen. Prost!
Sie scheinen zu denken, dass REST ein eigenständiges Protokoll ist.
REST ist kein Protokoll. Es handelt sich um einen Designstil für HTTP-basierte Anwendungen.
Also schreiben Sie eine HTTP-Anwendung. Sind die Header verschlüsselt? Ja, wenn Sie das HTTPS-Protokoll (HTTP über SSL) anstelle von einfachem HTTP verwenden.
Das Vorhandensein von Zertifikaten auf beiden Seiten ist für Ihre Frage nicht direkt relevant. SSL-Zertifikate dienen der Authentifizierung. Sie helfen, Man-in-the-Middle-Angriffe wie sie bei DNS-Cache-Vergiftung möglich sind, zu erkennen.
Es reicht nicht aus, ein Zertifikat zu haben, Sie müssen den Webserver konfigurieren, um die Verbindungen zu verschlüsseln (das heißt, um das Zertifikat für diese Domain oder virtuellen Host zu verwenden). Außerdem denke ich, dass Sie nur ein einziges Zertifikat benötigen, die Antworten auf Anforderungen werden dennoch verschlüsselt.
Und ja, auch die HTTP-Header werden verschlüsselt sowie die Daten.
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
