Quel est le niveau de sécurité d'un HTTP GET lorsque les données sont encodées en URL?
https://stackoverflow.com/questions/1008539
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Si les données sont au format URL codé, est-il suffisamment sécurisé pour envoyer les informations de connexion via HTTP GET?
La solution
Pas du tout. L'URL encodé est facilement réversible. Vous devez chiffrer la couche de transport (c'est-à-dire utiliser HTTPS)
Autres conseils
Non - Le codage d'URL vise à garantir que tous les caractères que vous essayez d'envoyer avec une demande GET peuvent réellement arriver à l'autre bout.
Il est en fait conçu pour être facilement encodé et décodé afin de préparer les données au transport et non à la sécurité.
Le codage d'URL n'est pas un type de cryptage, il prépare simplement la chaîne à envoyer sur le réseau.
Si vos données sont sensibles, GET devrait être complètement hors de question. Raisons pour cela?
- L'évident, tous ceux qui jetteront un coup d'œil à la barre d'URL, verront les données
- Les données seront conservées dans chaque journal proxy qu'il traversera
- Si l'utilisateur quitte le site, l'URL sera enregistrée dans ses journaux / statistiques Web (REFERER).
Veuillez lire le objectif du codage d'URL
.La spécification des URL (RFC 1738, déc. '94) pose un problème en ce sens qu'elle limite l'utilisation de caractères autorisés dans les URL à un sous-ensemble limité du jeu de caractères US-ASCII.
HTML, quant à lui, permet d'utiliser toute la plage du jeu de caractères ISO-8859-1 (ISO-Latin) dans les documents - et HTML4 étend la plage autorisée pour inclure également l'ensemble du jeu de caractères Unicode. . Dans le cas de caractères non-ISO-8859-1 (caractères supérieurs à FF hex / 255 décimaux dans le jeu Unicode), ils ne peuvent tout simplement pas être utilisés dans les URL, car il n'existe aucun moyen sûr de spécifier des informations sur le jeu de caractères dans le contenu de l'URL. encore [RFC2396.]
Les URL doivent être codées partout dans un document HTML indiquant qu'une URL est référencée pour importer un objet (A, APPLET, AREA, BASE, BGSOUND, BODY, EMBED, FORM, FRAME, IFRAME, ILAYER, IMG, ISINDEX, INPUT, COUCHE, LIEN, OBJET, SCRIPT, SON, TABLE, éléments TD, TH et TR.)
La sécurité n’est pas le problème ici. Comme indiqué précédemment, HTTPS doit être utilisé lorsque cela est nécessaire.
URLEncoding sert à l'encodage / à la transmission, pas à la sécurité.
Pas du tout sécurisé.
