Sto esaminando una proposta e ho bisogno di trovare dei motivi per spiegare perché potremmo non eseguire la soluzione suggerita.
Ecco il problema:
www. domain-a .com è un sito Web sicuro che si occupa delle funzioni relative ai clienti.
www. domain-b .com è un sito web partner che si occupa di una nuova serie di funzioni correlate ai clienti che domain-a .com non è coinvolto in, che indirizzando l'utente che ha effettuato l'accesso a domain-b .com sull'utente che intraprende un viaggio specifico.
Fin qui tutto bene, ma poi introduciamo il fatto che domain-a deve passare informazioni crittografate (riservate) a domain-b tramite la stringa di query, e questo sarebbe naturalmente un'operazione GET HTTPS perché stiamo aprendo una nuova finestra.
La mia domanda circonda davvero il processo di crittografia delle informazioni della stringa di query riservate nel modo migliore possibile tra domain-a e domain-b in un modo che ridurrà o eliminare la possibilità di riproduzione, MITM e altri attacchi comuni.
Esistono schemi comuni per affrontare questo tipo di scenario, dal punto di vista della crittografia? Vorremmo ovviamente assicurarci che gli URL di accesso siano essenzialmente "one-shot", ovvero un cliente che ha tentato di copiare / aggiungere un segnalibro a questo URL tornerebbe a una sessione / endpoint non definitiva se dovesse accedervi di nuovo.
Capisco anche che le richieste HTTP GET possono essere memorizzate nella cache in IIS / infrastruttura Web, e non è forse il modo migliore di andare su questo, ma è lo scenario che attualmente devo affrontare qualsiasi input sarebbe stato accolto con gratitudine!