I was using wireshark and expecting to see a JSESSIONID in a HTTP
request, but it did not seem to be there for HTTP requests. I could
see my own JSESSIONID however.
JSESSIONID è un cookie che viene solitamente contrassegnato con i flag "sicuro" e "nessun script". Il flag "sicuro" indica ai browser compatibili di non inviare quel cookie su HTTP, solo HTTPS.
Would upgrade-insecure-requests help protect a query string form sniffing?
L'intestazione HTTP Upgrade-Insecure-Requests request invia un segnale al server che esprime la preferenza del client per una risposta crittografata e autenticata ... altro: link
Se il server riceve la richiesta con Upgrade-Insecure-Requests: 1
, può reindirizzare il client che ha espresso la preferenza per le richieste protette alla versione HTTPS del sito.
IN GENERALE:
La stringa di query fa parte dell'URL nella richiesta. L'URL viene visualizzato nella riga di richiesta della richiesta HTTP:
GET /some/url?a=b HTTP/1.1
Per proteggerlo dallo sniffing è necessario disporre di SSL / TLS che stabilisca una sessione TCP protetta prima di inviare i dati e quindi di crittografare le comunicazioni / i dati.