¿Qué tan seguro es un HTTP GET cuando los datos están codificados con URL?
https://stackoverflow.com/questions/1008539
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Si los datos están codificados en URL, ¿son lo suficientemente seguros como para enviar credenciales de inicio de sesión a través de HTTP GET?
Solución
En absoluto. La URL codificada es fácilmente reversible. Debe cifrar la capa de transporte (es decir, usar HTTPS)
Otros consejos
No: la codificación de URL tiene por objeto garantizar que todos los caracteres que intenta enviar con una solicitud GET puedan llegar al otro extremo.
En realidad, está diseñado para codificarse y decodificarse fácilmente para preparar los datos para el transporte, no para la seguridad.
La codificación de URL no es ningún tipo de cifrado, solo prepara la cadena para enviarla a través de la red.
Si sus datos son confidenciales, GET debería estar completamente fuera de discusión. ¿Razones para esto?
- El obvio, todos los que echen un vistazo a la barra de URL, verán los datos
- Los datos se dejarán en cada registro proxy por el que pasen
- Si el usuario abandona el sitio, el siguiente sitio tendrá la URL registrada en sus registros / estadísticas web (REFERER).
Lea el propósito de la codificación de URL
La especificación para las URL (RFC 1738, diciembre de 1994) plantea un problema, ya que limita el uso de caracteres permitidos en las URL a solo un subconjunto limitado del conjunto de caracteres US-ASCII.
HTML, por otro lado, permite que todo el rango del conjunto de caracteres ISO-8859-1 (ISO-Latin) se use en documentos, y HTML4 expande el rango permitido para incluir todo el conjunto de caracteres Unicode . En el caso de caracteres que no son ISO-8859-1 (caracteres por encima de FF hexadecimal / 255 decimal en el conjunto Unicode), simplemente no se pueden usar en las URL, porque no hay una forma segura de especificar la información del conjunto de caracteres en el contenido de la URL aún [RFC2396.]
Las URL deben codificarse en todas partes en un documento HTML al que se hace referencia a una URL para importar un objeto (A, APPLET, AREA, BASE, BGSOUND, BODY, EMBED, FORM, FRAME, IFRAME, ILAYER, IMG, ISINDEX, INPUT, CAPA, ENLACE, OBJETO, ESCRITO, SONIDO, TABLA, TD, TH y elementos TR).
La seguridad no es el punto aquí. Como ya se señaló, se debe usar HTTPS cuando sea necesario.
URLEncoding es para codificación / transmisión, no seguridad.
No es del todo seguro.
