Quanto è sicuro un HTTP GET quando i dati sono codificati in URL?

StackOverflow https://stackoverflow.com/questions/1008539

Domanda

Se i dati sono codificati in URL, è abbastanza sicuro inviare credenziali di accesso su HTTP GET?

È stato utile?

Soluzione

Niente affatto. L'URL codificato è facilmente reversibile. Dovresti crittografare il livello di trasporto (ovvero utilizzare HTTPS)

Altri suggerimenti

No - La codifica URL ha lo scopo di garantire che tutti i caratteri che provi a inviare con una richiesta GET possano effettivamente arrivare dall'altra parte.

In realtà è progettato per essere facilmente codificato e decodificato per preparare i dati per il trasporto, non per la sicurezza.

La codifica URL non è alcun tipo di crittografia, prepara semplicemente la stringa da inviare attraverso la rete.

Se i tuoi dati sono sensibili, GET dovrebbe essere completamente fuori discussione. Ragioni per questo?

  1. Quello ovvio, chiunque dia un'occhiata alla barra degli URL, vedrà i dati
  2. I dati verranno lasciati in ogni registro proxy che passa attraverso
  3. Se l'utente lascia il sito, il sito successivo avrà l'URL registrato nei suoi registri / statistiche web (RIFERIMENTO).

Leggi scopo della codifica URL

  

La specifica per gli URL (RFC 1738, dicembre '94) pone un problema, in quanto limita l'uso dei caratteri consentiti negli URL solo a un sottoinsieme limitato del set di caratteri US-ASCII.

     

L'HTML, d'altra parte, consente di utilizzare l'intera gamma del set di caratteri ISO-8859-1 (ISO-latino) nei documenti - e HTML4 espande l'intervallo consentito per includere anche tutto il set di caratteri Unicode . Nel caso di caratteri non ISO-8859-1 (caratteri sopra esadecimale / 255 decimale nel set Unicode), non possono essere utilizzati negli URL, poiché non esiste un modo sicuro per specificare le informazioni sul set di caratteri nel contenuto dell'URL ancora [RFC2396.]

     

Gli URL devono essere codificati ovunque in un documento HTML a cui fa riferimento un URL per importare un oggetto (A, APPLET, AREA, BASE, BGSOUND, BODY, EMBED, FORM, FRAME, IFRAME, ILAYER, IMG, ISINDEX, INPUT, Elementi LAYER, LINK, OBJECT, SCRIPT, SOUND, TABLE, TD, TH e TR.)

La sicurezza non è il punto qui. Come già notato, HTTPS dovrebbe essere usato quando richiesto.

URLEncoding è per codifica / trasmissione, non per sicurezza.

Per niente sicuro.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top