ユーザー名/パスワードをrssフィードURLに埋め込むときに、セキュリティ上の影響はありますか?
質問
FogBugz RSSフィードをiGoogleページに追加したときに、フィードURLにユーザー名とパスワードを埋め込む必要があることに気付きました。これに関連するセキュリティ上のリスクはありますか?
編集: はい、私の質問では、httpsと、URLのクエリ文字列部分が暗号化されているかどうかを具体的に述べているはずです。
解決
HTTPS URLでない場合は、はい。
そうでない場合、アカウントがまだ侵害されているわけではありませんが、暗号化されていないチャネルを介して認証情報を送信しています...あなたはそれを求めています。
HTTPSであれば問題ありません。 HTTPS URLは暗号化されています。
他のヒント
URL内の機密情報は、ユーザーのブラウザー、Webサーバー、2つのエンドポイント間のフォワードまたはリバースプロキシサーバーなど、さまざまな場所に記録される場合があります。 URLは、ユーザーが画面に表示したり、ブックマークしたり、メールで送信したりすることもできます。オフサイトリンクをたどると、Refererヘッダーを介して第三者に開示される場合があります。セッショントークンをURLに配置すると、攻撃者によってキャプチャされるリスクが高まります。
所属していません StackOverflow