Poiché i parametri GET vengono passati nell'URL, come possono essere protetti da qualcuno con accesso ai registri di rete. Sarebbe in grado di vedere a quali URL si accede, anche se non può vedere la richiesta e la risposta.
Chiedo perché un'API richiede che io passi i dati degli utenti su https (i dati dell'utente c). Il nome utente e la password vengono passati come http AUTH: utente: [email protected]/api/messages
HTTPS utilizza Transport Layer Security (TLS). Il livello di trasporto è il livello 4, quindi tutto ciò che si trova sopra questo livello è crittografato, il che significa che tutto il protocollo HTTP è crittografato.
Per impostazione predefinita sulla maggior parte dei server HTTP, tutti i parametri GET vengono registrati nel registro di accesso. La registrazione in chiaro dei token di autenticazione è una vulnerabilità. L'intestazione HTTP Authentication non viene registrata per impostazione predefinita.