RESTリクエストヘッダーはSSLで暗号化されていますか?

Question

私はREST経由で通信するクライアント/サーバーアプリを開発しています。一部のカスタム リクエスト データはリクエストのヘッダーに保存されます。リクエストを送信するサーバーと受信サーバーの両方に SSL 証明書があります。ヘッダーが暗号化されますか、それともコンテンツだけが暗号化されますか?

Answer 1

SSL はクライアントからサーバーへの通信パス全体を暗号化するため、ヘッダーも暗号化されます。

ちなみに、ネットワーク アプリケーションを開発していてデータ セキュリティを気にする場合は、少なくとも Niels Ferguson と Bruce Schneier 著の『Practical Cryptography』のような本を読むことをお勧めします。Web アプリケーションのセキュリティに重点を置いた書籍をさらに読むとよいでしょう。アイデア。所見を述べさせていただくと、個人的な批判という意味ではありませんので、あなたの質問は非常に基本的な Web セキュリティ テクノロジに対する理解が根本的に欠如していることを示しており、それは決して良い兆候ではありません。

また、暗号化されていると想定されているデータが実際に暗号化されていることを確認することは決して悪いことではありません。ネットワーク アナライザーを使用すると、回線上のトラフィックを監視し、平文で送信される機密情報を監視できます。以前に Wireshark を使用してこれを実行したことがありますが、場合によっては驚くような結果が得られることがあります。

Answer 2

SSL トンネルで通信している限り、サーバーとクライアントの間で送信されるすべてのデータは暗号化されます。暗号化は、データが送受信される前に行われます。

Answer 3

ヘッダーとコンテンツの両方が暗号化されます。

Answer 4

あなたは REST が別個のプロトコルであると考えているようです。

REST はプロトコルではありません。これは、HTTP ベースのアプリケーションの設計スタイルです。

つまり、HTTP アプリケーションを作成することになります。ヘッダーは暗号化されていますか?はい、プレーン HTTP の代わりに HTTPS (HTTP over SSL) プロトコルを使用している場合は可能です。

両側に証明書があるかどうかは、あなたの質問とは直接関係ありません。認証にはSSL証明書が使用されます。これらは、DNS キャッシュ ポイズニングを使用して可能となるような中間者攻撃の検出に役立ちます。

Answer 5

証明書を持っているだけでは不十分です。そのドメインまたは仮想ホストの接続を暗号化する (つまり、証明書を使用する) ように Web サーバーを構成する必要があります。さらに、必要な証明書は 1 つだけで、リクエストへの応答は引き続き暗号化されると思います。

はい、HTTP ヘッダーはデータと同様に暗号化されます。

Answer 6

SSL、または HTTPS (HTTP over SSL) は、すべての HTTP コンテンツを SSL 経由で送信します。HTTP コンテンツとヘッダーは実際には同じものであるため、ヘッダーも暗号化されることを意味します。GET および POST データが HTTP ヘッダーを介して送信されることを考えると、データを安全に送信する場合、単に応答コードやコンテンツを暗号化する必要はないのは当然です。

Answer 7

他の答えは、SSL を使用するとヘッダーが本文とともに実際に暗号化されるということで正しいです。ただし、URL にはクエリ パラメータを含めることができるため、 一度もない 暗号化されています。したがって、URL クエリ パラメーターには機密情報を決して入れないように注意してください。

アップデート： 以下で @blowdart が指摘したように、これは間違っています。以下のコメントを参照してください。

Answer 8

ない すべて 暗号化されています:リクエストのクエリ文字列は暗号化されません。信じてください、次のようなリクエストを見たことがあります。

https://mydomain.com/authenticate?user=username&password=MyStrongPasswordSentInTheClear

クエリ文字列のパラメータとして機密データを入力しないでください。