RSS 피드 URL에 사용자 이름/비밀번호를 포함시 할 때 보안에 영향을 미칩니 까?

Question

FOGBUGZ RSS 피드를 IGOOGLE 페이지에 추가했을 때 피드 URL에 사용자 이름과 비밀번호를 포함시켜야한다는 것을 알았습니다. 그렇다면이를 수행하는 것과 관련된 보안 위험이 있습니까?

편집 : 예, 제 질문에 HTTPS와 URL의 쿼리 문자열 부분이 암호화되어 있는지 여부에 대해 구체적으로 언급해야합니다.

Answer 1

HTTPS URL이 아닌 경우 예입니다.

그렇지 않은 경우 계정이 아직 손상되었음을 의미하지는 않지만 암호화되지 않은 채널을 통해 인증 정보를 보내고 있습니다.

그것이 https라면 괜찮습니다. HTTPS URL ~이다 암호화.

Answer 2

URL 내의 민감한 정보는 사용자의 브라우저, 웹 서버 및 두 엔드 포인트 간의 전진 또는 리버스 프록시 서버를 포함한 다양한 위치에 로그인 할 수 있습니다. URL은 화면에 표시, 북마크 또는 사용자가 이메일로 표시 될 수도 있습니다. 오프 사이트 링크를 준수 할 때는 참조 헤더를 통해 제 3 자에게 공개 될 수 있습니다. 세션 토큰을 URL에 배치하면 공격자가 캡처 할 위험이 높아집니다.