Ist eine HTTPS-Abfragezeichenfolge sicher?

Question

Ich erstelle eine sichere webbasierte API, die HTTPS verwendet. Wenn ich jedoch den Benutzern erlaube, sie zu konfigurieren (einschließlich des Sendens des Kennworts), indem ich eine Abfragezeichenfolge verwende, wird dies auch sicher sein, oder sollte ich erzwingen, dass dies über ein POST geschieht?

Answer 1

Ja, solange Ihnen niemand über die Schulter auf den Monitor schaut.

Answer 2

Ich stimme der Aussage nicht zu, dass [...] HTTP-Referrer-Leck (ein externes Bild auf der Zielseite könnte das Passwort verraten) en Die Antwort von Slough .

Der HTTP 1.1 RFC stellt ausdrücklich fest :

Clients SOLLTEN KEINEN Referer enthalten Header-Feld in eine (unsichere) HTTP Anfrage aufnehmen, wenn die verweisende Seite mit einem sicheren Protokoll übertragen wurde.

Auf jeden Fall sind Serverprotokolle und der Browserverlauf mehr als ausreichende Gründe dafür, keine sensiblen Daten in den Abfrage-String aufzunehmen.

Answer 3

Ja, von dem Moment an, in dem Sie eine HTTPS-Verbindung herstellen, ist alles sicher. Der Abfrage-String (GET) wird wie der POST über SSL gesendet.

Answer 4

Sie können das Kennwort als MD5-Hash-Parameter mit einem hinzugefügten Salt senden. Vergleichen Sie es auf der Serverseite für die Authentifizierung.