Wie sicher ist das Senden vertrauliche Daten über https?
https://stackoverflow.com/questions/190771
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ist SSL sicher genug für sensible Daten verwenden (wie Passwort) in Query-String? Gibt es zusätzliche Optionen zu implementieren?
Lösung
SSL bietet Sicherheit, Transport-Level-Sicherheit . Niemand zwischen Client und Server soll in der Lage sein, die Informationen zu lesen.
Aber Sie sollten Ihre Meinung ändern sensible Daten in der Abfragezeichenfolgeflag über das Schreiben . Es wird in der History des Browsers angezeigt und ist sichtbar in der Adressleiste des Browsers und in Protokollen auf dem Server. Lesen Sie diesen Artikel: Wie sicher sind Abfrage Strings über HTTPS?
Bei der Verwendung von Query-Strings ist Ihre einzige Option (ich bezweifle es), hier ist ein interessanter Artikel um die Sicherung Query-Strings .
Andere Tipps
SSL ist sicher, aber denken Sie daran, dass jede Verschlüsselung, wenn genügend Zeit und Ressourcen gegeben gebrochen werden kann. Vorausgesetzt, dass Sie nicht wissen, welche Pakete ein Passwort enthalten und welche nicht, dann würden Sie haben all verschlüsselten Datenverkehr zu entschlüsseln, um die richtigen zu finden. Dies ist unlösbar im allgemeinen Fall.
Allerdings müssen ein Anmeldeformular input [type = text], es zu betreten. Es würde Arbeit auf diese und schalten Sie die Anforderung in eine HTTP-GET-Anforderung mit Query-Strings, anstatt eine POST mit den Daten in Form Parameter „entpacken“. Ich kann mir nicht vorstellen, warum jemand dies tun würde. Nachdem das Passwort vom Benutzer geliefert wurde (und der Benutzer authentifiziert), verwenden Sie die Tatsache, dass die Authentifizierung anstatt um das Passwort zu halten. Wenn Sie das Passwort zu halten brauchen, für den Identitätswechsel, sagen wir, halten es Server-Seite und vorzugsweise in einer sicheren Zeichenfolge. Wenn Sie versuchen, auf Single-Sign tun tun (geben Sie meine ID / Passwort einmal für viele Seiten), dann eine Art zentraler Authentifizierungsdienst verwenden (CAS) - OpenID, Windows -. Oder setzen Ihre eigene
Je weniger mal ein Passwort kreuzt den Draht, desto besser.
Und es ist immer der Browser Adressleiste zu prüfen, welche würden argumentieren, dass Sie keine sensiblen Daten, die Sie in Query-Strings setzen verschlüsseln müssen und codieren, wie zuvor erwähnt wurde.
Sensible Daten in der Abfragezeichenfolge ist eine schlechte Idee, casual Passanten können die Query-String sehen und es würde eine Versuchung, mit einem Lesezeichen versehen sein, die wirklich nicht sicher ist.
SSL ist ziemlich sicher, wenn Sie Internet-Banking zu tun und Sie vertrauen es dann SSL genug für Sie zu gut sein.
mit der SSL einverstanden ist sicher * ish und die Abfragezeichenfolgeflag Ausgabe
erinnern, dass es Beschränkungen für SSL -
sicherzustellen, dass das CERT ist root zertifiziert.
einig Windows 2000-Maschinen benötigen angelegt, um ein sp haben für die 128-Bit-ssl zu arbeiten, wenn sie nicht dort dann geht es auf 40bit oder Doenst Last (wenn ich mich recht erinnere)
Einige Software-Firewalls wie ISA - wo Sie die sichere Seite und cert Inneren veröffentlichen -. Akt wie ein Mann in der Mitte
Secure ISA dann auf LAN-Secure. aber der große facter hier ist das „dann“ als ISA Log wird dann die Anmeldung ist ein Problem, da das Passwort auf die Query-String und Post zu sehen ist - die jeder (admin) bedeutet, kann sehen ...
Also für sicheren Hashing algorithims in Ihrer Sprache einfach die Passwort-Hash.
Es gibt keine „sicher genug“, die Sicherheit ist keine statische Sache mit einer Bool-Eigenschaft, die entweder wahr oder falsch ist.
SSL ist gut, aber es hängt davon ab, wie sicher ist der private Schlüssel auf der Serverseite, wie viel Bits der Schlüssel haben, der Algorithmus verwendet, wie vertrauenswürdig die verwendeten Zertifikate sind, etc ....
Aber wenn Sie verwenden SSL mindestens alle Ihre Daten verschlüsselt übertragen (mit Ausnahme der Ziel-IP, weil es zu routen Ihr Paket verwendet wird).
Ein weiterer Punkt, den Sie berücksichtigen sollen, ist - wenn Sie Ihr Passwort Abfrage-String von Hand in Ihrem Browser eingeben könnte es (in einer völlig unverschlüsselt lokalen Datei) in Ihrem lokalen Browser-Cache landen. Also besser POST verwenden und nicht die Transfer-Mechaniker erhalten.
Wenn Sie wirklich Interesse an Sicherheit i mehr Forschung zu diesem Thema empfehlen, weil die meisten oft nicht der Algorithmus der schwächste Punkt in Sicherheit ist.
Ja ist es sicher genug. Während ich es nicht in der Regel eine gute Idee zustimmen sowieso Sachen haben, wie sie in einer Abfragezeichenfolge, es ist ok, wenn es nicht eine Abfrage-String, der in der Adressleiste angezeigt. Wenn es in der Adressleiste Sie aus offensichtlichen Gründen zeigt verlieren ein Maß an Sicherheit (Menschen zu Fuß durch, usw.)
ssl Inspektor kann ssl Verkehre öffnen http: // www.ssl-inspector.com/files/file/SSL%20Inspector%20Appliance%20Product%20Brief%20(2-11).pdf
Sie sollten nie etwas kritisch empfindlich mit Query-Strings senden!
Sollte nicht eine Sende gehasht Passwörter? -. Vergiss wenn ich falsch liege
SSL so ziemlich die meisten Sicherheit ist man bekommen kann.
Selbst signierte Zertifikate sind SSL-Zertifikate, die selbst erstellt und unterzeichnet. Das bedeutet, dass Sie nicht über einen Dritten Zertifizierungsstelle (CA) benötigen, um Ihr Zertifikat zu signieren, und es bedeutet, dass Browser wird standardmäßig eine Warnung über sie werfen, da ein selbst signiertes Zertifikat kann nicht zuverlässig (Ihr Browser eine Liste vertrauenswürdiger Zertifizierungsstellen hat) überprüfen, ob der Unterzeichner des Zertifikats ist genau das, was das Zertifikat sagt.
Betrachten wir die Situation, in der Sie ein SSL-Zertifikat „im Auftrag von“ einer bestimmten Redmond-basierte Software-Unternehmen erstellen. Nun, wenn Ihr HTTP-Server das Zertifikat präsentiert, die Sie selbst signierte haben, zu einem Client wird die User-Agent warnen, dass dieses Zertifikat nicht tatsächlich sein kann, die sie sagt, es ist. Eine Zertifizierungsstelle werden überprüfen - von Unterlagen, die reale, wirkliche tot Baum Art. - die Identität der Partei Unterzeichnung anfordert, daher ist es vertrauenswürdiger
Hope, das hilft.
