Si salva per inviare dati sensibili attraverso i parametri URL all'interno di un servizio con SSL? [duplicare]

Naviga le tue risposte
0

Stavo pensando a quell'argomento e sono un po 'confuso. Sto utilizzando SSL . C'è qualche storia:

  1. Fai clic sul pulsante "Dammi X"
  2. Il servizio 1 lo riceve, ottiene userName dalla sessione e invia GET a Service 2 passando userName come parametro URL
  3. Il servizio 2 lo riceve, invia la risposta con alcuni dati.
  4. Servizio 1 lo riceve e invia i dati all'utente.

I servizi 1 e 2 si trovano nella stessa macchina, utilizzano lo stesso contenitore web (Tomcat per esempio).
Ho scoperto che quando inviamo una richiesta direttamente all'utente (può vedere l'URL di destinazione) non è sicuro, ma non ho trovato nulla su "inoltro". È sicuro?

E so che ci sono molte migliori soluzioni, ma questa domanda è puramente ipotetica;)

    
posta B_Osipiuk 21.11.2018 - 20:42
fonte

1 risposta

0

Quando si è connessi con HTTPS a un sito Web, solo il dominio sarà visibile agli altri quando consentiranno di usare Wireshark, non i parametri URL. Tuttavia, ci sono più rischi coinvolti.

Non c'è alcuna differenza significativa in POST e GET richieste quando si tratta di modificare i valori, ad esempio, qualsiasi utente può facilmente modificare una richiesta di POST con la stessa facilità con cui altera l'URL. Puoi anche vedere pacchetti POST inviati sulla rete quando non usi HTTPS per la connessione.

Tuttavia, le richieste di GET possono essere memorizzate nella cache e rimarranno nella cronologia del browser. Possono anche essere segnalati e questi sono i principali rischi coinvolti. La best practice è non utilizzare GET richieste per dati sensibili.

    
risposta data 21.11.2018 - 21:18
fonte

Leggi altre domande sui tag

Indurimento di un processo di autenticazione basato su chiave asimmetrica L'HTTPS (e altri protocolli di sicurezza asimmetrici) è ancora sicuro quando si utilizza una VPN?