Werden Querystring-Parameter in HTTPS verschlüsselt, wenn sie mit einer Anfrage gesendet werden?
Diese Frage hat bereits Antworten:
- Ist eine HTTPS-Abfragezeichenfolge sicher? (9 Antworten )
Antworten
Zu viele Anzeigen?
Ja, der Querystring wird ebenfalls mit SSL verschlüsselt. Dennoch, als dieser Artikel zeigt, dass es keine gute Idee ist, sensible Informationen in die URL aufzunehmen. Zum Beispiel:
URLs werden in Webserverprotokollen gespeichert - In der Regel wird die gesamte URL jeder Anfrage in einem Serverprotokoll gespeichert. Das bedeutet, dass alle sensiblen Daten in der der URL (z. B. ein Kennwort) im Klartext im Klartext auf dem Server gespeichert werden
Michael Howard-MSFT
Punkte
3142
Denken Sie daran, dass SSL/TLS auf der Transportschicht arbeitet, so dass der ganze Krypto-Kram unter dem HTTP-Zeug auf der Anwendungsschicht passiert.
http://en.wikipedia.org/wiki/File:IP_stack_connections.svg
das ist die lange Form von "Ja!" zu sagen.
Marcelo Cantos
Punkte
173498
Steve Winter
Punkte
179
Ich bin mit den hier gegebenen Ratschlägen nicht einverstanden - selbst der Verweis auf die akzeptierte Antwort kommt zu dem Schluss:
Sie können natürlich Query-String-Parameter mit HTTPS verwenden, aber verwenden Sie sie nicht für irgendetwas die ein Sicherheitsproblem darstellen könnten. Sie können sie zum Beispiel gefahrlos verwenden, um Teilenummern oder Anzeigetypen wie "accountview" oder "printpage", aber verwenden Sie sie nicht für Passwörter, Kreditkartennummern oder andere Informationen, die nicht öffentlich zugänglich sein sollten verfügbar sein sollten.
Also, nein, sie sind nicht wirklich sicher...!
