https를 통해 민감한 데이터를 보내는 것이 얼마나 안전합니까?
https://stackoverflow.com/questions/190771
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
SSL은 쿼리 문자열에서 민감한 데이터(예: 비밀번호)를 사용하기에 충분히 안전합니까?구현할 추가 옵션이 있습니까?
해결책
SSL이 제공하는 안전한 전송 수준 보안.클라이언트와 서버 사이의 어느 누구도 정보를 읽을 수 없어야 합니다.
하지만 당신은해야 쿼리 문자열에 민감한 데이터를 쓰는 것에 대한 마음을 바꾸십시오.이는 브라우저 기록에 표시되며 브라우저의 주소 표시줄과 서버의 로그에 표시됩니다.이 문서를 참조하세요: HTTPS를 통한 쿼리 문자열은 얼마나 안전합니까?
쿼리 문자열을 사용하는 것이 유일한 옵션인 경우(의심스럽습니다) 여기에 흥미로운 기사가 있습니다. 쿼리 문자열 보안에 대해.
다른 팁
SSL은 안전하지만 충분한 시간과 자원이 주어지면 암호화가 깨질 수 있습니다. 어떤 패킷에 암호가 포함되어 있는지 알지 못하고 어떤 패킷이 암호를 포함하지 않으려면, 올바른 트래픽을 찾으려면 암호화 된 트래픽을 모두 해독해야합니다. 이것은 일반적인 경우에는 다루기 힘들다.
그러나 로그인 양식은 입력하려면 입력 [type = text]이 필요합니다. 이것을 "포장"하고 요청을 양식 매개 변수의 데이터가있는 게시물 대신 쿼리 문자열을 사용하여 요청을 HTTP GET 요청으로 전환하려면 작업이 필요합니다. 나는 왜 누군가가 이것을하는지 상상할 수 없습니다. 사용자가 암호를 제공 한 후에는 (및 사용자 인증 된) 비밀번호를 유지하지 않고 인증의 사실을 사용하십시오. 암호를 유지 해야하는 경우, 가장하려면 서버 쪽을 유지하고 보안 문자열로 유지하십시오. 하나의 단일 서명 (많은 사이트에 대해 내 ID/비밀번호를 한 번 입력하십시오)을 시도한 경우, CAS (Central Authentication Service) (OpenID, WindowsLive)를 사용하거나 직접 구현하십시오.
암호가 와이어를 가로 질러 몇 배가 많을수록 좋습니다.
또한, 앞에서 언급 한 것처럼 쿼리 문자열에 넣은 민감한 데이터를 암호화하고 인코딩해야한다고 주장하는 브라우저 위치 막대가 항상 있습니다.
쿼리 문자열의 민감한 데이터는 나쁜 생각입니다. 캐주얼 통행인은 쿼리 문자열을 볼 수 있으며 실제로 안전하지 않은 북마크를 유혹 할 수 있습니다.
SSL은 매우 안전합니다. 인터넷 뱅킹을하고 신뢰한다면 SSL도 충분합니다.
SSL이 안전합니다 *ISH 및 QueryString 문제에 동의합니다.
SSL에 제한이 있음을 기억하십시오.
인증서가 루트 인증을 받았는지 확인하십시오.
일부 Windows 2000 머신은 128 비트 SSL이 작동하도록 SP를 적용해야합니다.
ISA와 같은 일부 소프트웨어 방화벽 (안전한 사이트를 게시하고 그 안에있는 인증서)은 중간에있는 사람처럼 행동합니다.
ISA에 고정 한 다음 Lan에게 고정하십시오. 그러나 여기서 큰 얼굴은 "그런 다음"입니다. ISA가 로그를 기록하면 로깅이 쿼리 문자열의 비밀번호와 게시물을 볼 수 있으므로 로깅이 문제입니다.
따라서 비밀번호를 해시하기 위해 보안 해싱 알고리즘을 찾으십시오.
"충분히 보안"은 없으며, 보안은 부유 속성을 가진 정적 인 것이 아닙니다.
SSL은 양호하지만 서버 측의 개인 키가 얼마나 안전한 지, 키의 비트 금액, 사용 된 알고리즘, 중고 인증서가 얼마나 신뢰할 수 있는지에 따라 다릅니다 ....
그러나 SSL을 사용하는 경우 최소한 전송 된 모든 데이터가 암호화됩니다 (패키지를 라우팅하는 데 사용되기 때문에 대상 IP 제외).
고려해야 할 또 다른 요점은 - 브라우저에 손으로 비밀번호 쿼리 문자열을 입력하면 로컬 브라우저 캐시 (완전히 암호화되지 않은 로컬 파일)에서 끝날 수 있습니다. 따라서 게시물을 더 잘 사용하고 전송 메커니즘을 얻지 못합니다.
보안에 정말로 관심이 있다면 해당 주제에 대한 더 많은 연구를 권장합니다. 대부분 알고리즘이 보안에서 가장 약한 지점이기 때문입니다.
예, 충분히 안전합니다. 어쨌든 쿼리 문자열에있는 것과 같은 것들을 가지고 있다는 것은 일반적으로 좋은 생각은 아니지만 주소 표시 줄에 표시되는 쿼리 문자열이 아니라면 괜찮습니다. 주소 표시 줄에 표시되면 명백한 이유로 보안 수준을 잃습니다 (사람들이 걷는 사람들 등)
SSL 검사관은 SSL 트래픽을 열 수 있습니다http://www.ssl-inspector.com/files/file/ssl%20Inspector%20Appliance%20Product%20Brief%20(2-11).pdf
쿼리 문자열을 사용하여 치명적인 민감한 것을 보내지 않아야합니다!
해시 암호를 보내지 않아야합니까? - 내가 틀렸다면 절대로 절대로.
SSL은 당신이 얻을 수있는 가장 많은 보안입니다.
자체 서명 된 인증서는 직접 작성하고 서명 한 SSL 인증서입니다. 이것은 귀하가 인증서에 서명하기 위해 제 3 자 인증 기관 (CA)이 필요하지 않음을 의미합니다. 하지만 이는 기본적으로 브라우저가 기본적으로 경고를 던질 것임을 의미합니다. 자체 서명 된 인증서에 안정적으로 안정적으로 할 수 없기 때문에 (브라우저에 신뢰할 수있는 CAS 목록이 있음) 인증서의 서명자가 인증서가 말하는 것인지 확인합니다.
특정 레드몬드 기반 소프트웨어 회사를 대신하여 SSL 인증서를 작성하는 상황을 고려하십시오. 이제 HTTP 서버가 귀하가 자체 서명 한 인증서를 클라이언트에게 제공하는 경우 사용자 에이전트는이 인증서가 실제로 말한 사람이 아닐 수도 있다고 경고합니다. 인증 기관은 서류에 의해 실제, 실제 죽은 나무 종류 - 서명을 요청하는 당사자의 신원을 확인하므로 신뢰할 수 있습니다.
도움이 되었기를 바랍니다.
