Correggimi se ho torto, secondo HTTP v1.1 una semplice richiesta CONNECT avvia un tunnel SSL tra il server e un client. è solo dopo la creazione del tunnel che viene inviata la richiesta GET o POST completa. Ciò che viene inizialmente inviato è una versione ridotta di una richiesta GET / POST per avviare SSL.
Quando viene avviato SSL, per quanto ne so, un evescritto può vedere solo l'IP di destinazione, l'IP di origine e la PORTA nel pacchetto TCP / IP. Tutto il resto è crittografato. per favore, correggimi di nuovo, se ho un'idea sbagliata sullo stesso. Questo è semplicemente un insieme di informazioni raccolte a cui richiedo conferma.
Se quello che ho detto finora è corretto,
chiamando l'URL: www.websiteurl.com?username=name&password=PASSWORD
Dovrebbe essere perfettamente sicuro fin tanto che solo un intercettatore osserva i pacchetti che viaggiano tra server e client. So che dal momento che gli URL vengono registrati ovunque nel computer locale, può essere pericoloso. Non sto pianificando di implementare un sistema con questa conoscenza, ma ho bisogno di confermare se so quello che so correttamente.
Quindi sarebbe sicuro inviare informazioni sensibili su GET quando si utilizza HTTPS dopo l'avvio della sessione SSL con il server?
Questa domanda potrebbe non avere alcuna implementazione pratica poiché l'invio di informazioni sensibili tramite URL non è necessario.