Security 发布带有敏感数据的HTTPS GET请求的安全影响
对URL中的敏感数据执行HTTPS/SSL GET操作是否存在任何安全隐患?这会以明文形式记录在IIS日志中吗?是否可以在开放的WiFi接入点上嗅探网络流量请求Security 发布带有敏感数据的HTTPS GET请求的安全影响,security,url,https,Security,Url,Https,对URL中的敏感数据执行HTTPS/SSL GET操作是否存在任何安全隐患?这会以明文形式记录在IIS日志中吗?是否可以在开放的WiFi接入点上嗅探网络流量请求 i、 e.问题最好在这里回答: URL是加密的 但是,明文可能会显示在目标服务器的日志中,因为服务器将对其进行解密,并根据设置将值存储在日志中 唯一可嗅探的部分是dns部分。在本例中,请访问www.websiteurl.com 也就是说,您最好不要在querystring上使用用户名为/pw的get请求 编辑 我想再多加一点 GET请求
i、 e.问题最好在这里回答:
GET
请求的完整未加密URL在浏览器历史记录中可用。如果某个东西能够嗅探浏览器历史记录,那么它就可以完全访问查询字符串中的任何内容李>
您提到这是两个系统之间交换的数据,我认为这意味着您正在实现连接的客户端。在这种情况下,无论您如何发送数据(GET/POST/headers/等等),您都需要格外小心地验证所连接机器的SSL证书。如果中间人能让你用他的密钥而不是你信任的服务器的密钥加密数据,那么加密敏感数据对你毫无帮助。这是一个。这不会受到社会工程的影响,因为它被用来在两个系统之间交换数据。任何书签、缓存或任何类似性质的内容都不适用。然而,服务器日志是一个问题,所以有一点值得注意。我倾向于同意Chris Loer的回答,即URL是通过SSL加密的,但是不这样做还有其他考虑因素(或者我遗漏了什么?。@Claude:我也喜欢Chris Loer的回答。原因很简单,我的显然是错的。查找的DNS部分没有加密,该行上的其他内容都是加密的。不管怎么说,这个问题是2009年的问题的翻版。我想删除这个,但这是公认的答案,我不能这样做。相反,我将只更改答案本身。的可能副本