Wie sicher ist ein HTTP GET, wenn die Daten URL enthalten ist?

StackOverflow https://stackoverflow.com/questions/1008539

Frage

Wenn die Daten URL enthalten ist, ist es sicher genug, um Login-Daten über HTTP GET?

zu senden
War es hilfreich?

Lösung

nicht. URL codiert ist leicht umkehrbar. Sie sollten die Transportschicht verschlüsseln (d verwenden HTTPS)

Andere Tipps

Nein -. URL-Codierung soll sicher alle Zeichen machen versuchen, Sie mit einer GET-Anfrage senden kann tatsächlich am anderen Ende ankommen

Es ist so konzipiert, tatsächlich leicht codiert und decodiert werden, um Daten vorzubereiten für den Transport, nicht für die Sicherheit.

Die URL-Codierung ist nicht jede Art von Verschlüsselung, bereitet es nur die Schnur durch das Netzwerk gesendet werden.

Wenn Ihre Daten empfindlich sind, GET sollte völlig außer Frage sein. Gründe dafür?

  1. Die offensichtlichste, jeder, der einen Blick auf die URL-Leiste nimmt, werden die Daten sehen
  2. Die Daten werden in jedem Proxy-Protokoll gelassen werden, dass es geht Trog
  3. Wenn der Benutzer die Seite verlässt, wird die nächste Seite die URL aufgezeichnet haben in seiner logs / Webstatistik (REFERER).

Bitte lesen Sie die Zweck der URL-Codierung rel="nofollow

  

Die Spezifikation für URLs (RFC 1738, Dezember '94) stellt ein Problem dar, da es die Verwendung von erlaubten Zeichen in URLs nur eine begrenzte Teilmenge des US-ASCII-Zeichensatz begrenzt.

     

HTML, auf der anderen Seite ermöglicht es den gesamten Bereich der ISO-8859-1 (ISO-Latin) Zeichensatz in Dokumenten verwendet werden - und HTML4 erweitert den zulässigen Bereich alle Unicode-Zeichen enthalten und eingestellt . Im Fall von nicht-ISO-8859-1 (Zeichen oben FF hex / 255 dezimal im Unicode-Satz), können sie einfach nicht in URLs verwendet werden, da es kein sicherer Weg, um Zeichensatzinformationen in dem URL-Inhalt angeben noch [RFC2396.]

     

URLs sollte überall in einem HTML-Dokument verschlüsselt werden, die eine URL referenziert wird, ein Objekt (A, APPLET, AREA, BASE, BGSOUND, BODY, EMBED, FORM, FRAME, IFRAME, ILAYER, IMG, ISINDEX, INPUT zu importieren, SCHICHT, LINK, Objekt, SCRIPT, SOUND, TABLE, TD, TH und TR-Elemente.)

Die Sicherheit ist nicht der Punkt hier. Wie bereits erwähnt, sollte HTTPS verwendet werden, wenn das erforderlich ist.

urlencoding ist für die Codierung / Übertragung, keine Sicherheit.

haupt nicht sicher.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top