Wie sicher ist ein HTTP POST?
https://stackoverflow.com/questions/1008668
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ist ein POST sicher genug über Anmeldeinformationen senden?
Oder ist eine SSL-Verbindung eines muss
Lösung
SSL ist ein Muss. POST ist nicht sicherer als GET wie es auch unverschlüsselt senden. SSL wird die gesamte HTTP-Kommunikation abdecken und verschlüsselt die HTTP-Daten zwischen dem Client und Server gesendet werden.
Andere Tipps
<shameless plug>I hat eine Blog-Post dass das, was ein Detail HTTP-Anfrage aussieht und wie eine GET-Anforderung an eine POST-Anfrage vergleicht. Der Kürze halber GET:
GET /?page=123 HTTP/1.1 CRLF
Host: jasonmbaker.wordpress.com CRLF
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1 CRLF
Connection: close CRLF
und POST:
POST / HTTP/1.1 CRLF
Host: jasonmbaker.wordpress.com CRLF
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1 CRLF
Connection: close CRLF
CRLF
page=123
(Der CRLF ist nur ein Newline)
Wie Sie sehen können, sind die einzigen Unterschiede im Hinblick auf die, wie eine Anforderung gebildet * ist, dass eine POST-Anfrage das Wort POST verwendet und die Formulardaten werden im Körper des Antrags gegen die URI gesendet. So ist Sicherheit durch Unklarheit HTTP POST. Wenn Sie Daten schützen möchten, sollten Sie SSL verwenden.
* Beachten Sie, dass es < em> sind andere Unterschiede .
Das auf Ihren persönlichen Umständen abhängt, wie viel kosten würde, das Abhören von den Anmeldeinformationen jemand?
Wenn es nur eine Anmeldung zu einer Software Q + A-Stelle dann könnten SSL nicht erforderlich sein, wenn es sich um eine Online-Banking-Website oder Sie speichern die Kreditkartendaten dann ist es.
Dies ist ein Geschäft keiner techncial Entscheidung.
HTTP POST nicht verschlüsselt ist, kann es von einem Netzwerk-Sniffer abgefangen werden, durch einen Bevollmächtigten oder sickerte in den Protokollen des Servers mit einer angepassten Protokollebene. Ja, POST ist besser als GET weil POST-Daten nicht ist usualy durch einen Proxy-Server oder Server angemeldet, aber es ist nicht sicher . Um ein Passwort oder andere vertrauliche Daten zu sichern, müssen Sie SSL verwenden oder die Daten, bevor Sie POST verschlüsseln. Eine andere Möglichkeit wäre Digest-Authentifizierung zu verwenden, mit dem Browser (siehe RFC 2617). Denken Sie daran, dass (home grown) Verschlüsselung ist nicht genug Replay-Attacken zu verhindern, müssen Sie eine Nonce und andere Daten verketten (z. B. Bereich) vor der Verschlüsselung (siehe RFC 2617, wie es in Digest Auth gemacht wird).
SSL ist ein Muss:)
HTTP Post wird im Klartext übertragen. Ein Beispiel herunterladen und verwenden Fiddler HTTP-Verkehr zu beobachten. Sie können ganz einfach dort den gesamten Beitrag sehen (oder über ein Netzwerk Traffic Monitor wie Wireshark)
Es ist nicht sicher. Eine POST kann genauso einfach wie ein GET schnupperte werden.
Nein ... POST ist nicht sicher überhaupt genug. SSL ist ein Muss.
POST verbirgt nur effektiv die Parameter in dem Query-String. Diese Parameter können immer noch von niemandem abgeholt Blick auf den Verkehr zwischen dem Browser und dem Endpunkt.
Der sicherste Weg ist an allen Anmeldeinformationen nicht gesendet werden.
Wenn Sie Digest Authentication , dann SSL ist nicht ein Muss.
(NB: Ich bin nicht was impliziert, dass Digest-Authentifizierung über HTTP ist immer sicherer als die Verwendung von POST über HTTPS).
POST-Text.
Eine sichere Verbindung ist ein Muss.
Deshalb ist es eine sichere Verbindung genannt wird.
Nein, die Verwendung von SSL.
Mit POST werden die Werte immer noch als Klartext vorgelegt, es sei denn SSL verwendet wird.
Der einzige Unterschied zwischen HTTP GET und POST HTTP ist die Art und Weise, in der die Daten kodiert sind. In beiden Fällen wird es als Klartext gesendet.
Um jede Art von Sicherheit für die Anmeldeinformationen zur Verfügung zu stellen, HTTPS ist ein Muss.
Sie benötigen kein teures Zertifikat HTTPS entweder zu liefern. Es gibt viele Anbieter, die sehr einfache Zertifikate für etwa 20USD $ ausgeben. Die teureren gehören Identitätsprüfung, die mehr ein Anliegen für die E-Commerce-Sites ist.
Eine allein POST-Anforderung ist nicht sicher, da alle Daten im Klartext „Reisen“.
Sie müssen SSL, um es zu sichern.
POST-Daten im Klartext gesendet, wenn Sie eine unverschlüsselte HTTP-Verbindung verwenden. IF dies sicher genug ist, hängt von Ihrer Nutzung (Hinweis: es ist nicht).
Wenn sowohl der Server, die Client-Maschine und alle Maschinen zwischen ihnen Teil eines kontrollierten, vollständig vertrauenswürdigen Netzwerk sind, kann dies in Ordnung sein.
Außerhalb dieser sehr begrenzten Umständen (und manchmal sogar in ihnen) Klartext-Authentifizierung für Probleme bittet.
Bitte lesen Sie diese großen Artikel:
gegen Malicious POST Requests schützen
