Sto lavorando su un'app web che dovrà passare una chiave segreta passata da un server a un altro - Dovrò farlo su PHP. Considera il seguente URL:
https://www.myserver.com/secure/somePHPFile.php?supersecret=bananas
Potrebbe una persona malintenzionata intercettare la richiesta e leggere l'argomento "supersecret"?
La stessa domanda era arrivata nello stackoverflow qualche tempo fa, per favore trova il link sotto.
Per riassumere le risposte menzionate nel link, i parametri url che vengono inviati al server saranno crittografati e quindi non sono vulnerabili all'intercettazione, tuttavia se ti riferisci a qualsiasi terza parte dalla tua pagina (es: jquery) allora a meno il riferimento è via ssl, l'intero url sarà presente come testo in chiaro nel campo del referrer http e che può essere intercettato e letto.
Probabilmente gli url possono essere registrati come testo normale sul server, nella cronologia del browser e forse ci sono plugin del browser che nascondono l'url. Quindi non è una buona pratica
È meglio inviare parametri sensibili usando il POST.
Inoltre, ho confermato eseguendo wireshark mentre accedevo al link . l'URL aveva molti parametri e tutto era criptato da ssl.