Svantaggi di sicurezza nell'invio di una password con GET? [duplicare]

Naviga le tue risposte
1

Oltre a sbirciare la spalla, se una password viene inviata utilizzando GET in chiaro su una connessione crittografata, ci sono altri svantaggi di sicurezza o è lo stesso di POST?

    
posta Crizly 30.06.2016 - 22:09
fonte

1 risposta

7

Nessun dato confidenziale dovrebbe mai essere inviato tramite GET.

I dati potrebbero essere trapelati o archiviati da:

  • referer se ti colleghi a una pagina diversa dopo un accesso
  • i log del tuo server , che è un problema se questi registri sono sempre disponibili, ad esempio tramite LFI, configurazioni server errate, backup, ecc.
  • cronologia browser che è un problema se più persone utilizzano lo stesso browser, ad esempio nelle aziende o nelle biblioteche pubbliche, o anche in altri siti web se l'annidamento della cronologia è un'opzione.
  • server proxy in grado di decrittografare le richieste
  • utenti che condividono link

Il CWE per questo problema sarebbe CWE-598 .

    
risposta data 30.06.2016 - 22:15
fonte

Leggi altre domande sui tag

È sicuro usare la crittografia a chiave pubblica per autenticarsi? [duplicare] Ogni servizio in esecuzione su un dominio deve avere un certificato separato?