Le richieste post sono sicure?

2

Se una richiesta di posta viene inviata da un client su un sito Web senza SSL, la richiesta è sicura?

Ad esempio, visito un sito badsecurity.com e accedo utilizzando una password:

  1. Questa password sarà crittografata se non c'è SSL? (Sono abbastanza sicuro che non lo sia, a meno che non sia https / ssl o ci sia qualche altra crittografia aggiunta al modulo?)

  2. È possibile che il messaggio postale venga intercettato in qualche modo, ad esempio utilizzando uno sniffer di pacchetti e che l'intruso visualizzi il testo della richiesta di post?

(Non sto chiedendo se le richieste di posta possono essere falsificate)

    
posta user35581 27.02.2014 - 19:38
fonte

1 risposta

16

No. Affatto. Sono inviati in testo semplice. Senza SSL, una richiesta POST è altrettanto sicura di una richiesta GET. Certo, potrebbe non essere visualizzato nell'URL, ma non è sicuro in alcun modo.

Will this password be encrypted if there is no SSL?

No, la password non sarà crittografata. L'unico motivo per cui non viene visualizzato quando lo si digita è solo il browser che lo oscura in modo che le persone vicine non possano vedere la password in chiaro sullo schermo. Può essere facilmente rivelato ispezionando il DOM o usando alcuni javascript come questo: javascript:alert($('input[type="password"]').value) .

Is it possible for the post message to get intercepted somehow, say using a packet sniffer, and for the intruder to view the post request's text?

Questo è assolutamente possibile e molto facile da fare. Uno sniffer di pacchetti fa esattamente questo e può visualizzare i nomi utente e le password POSTed in testo semplice. Per qualcuno che annusa le richieste HTTP, una richiesta POST sembra praticamente identica a una richiesta GET, tranne che una richiesta POST ha "POST" nella parte superiore invece di "GET."

Non l'hai chiesto, ma sì, anche le richieste di posta possono essere falsificate.

    
risposta data 27.02.2014 - 19:41
fonte

Leggi altre domande sui tag