Enviando dados confidenciais como um parâmetro de sequência de consulta
https://stackoverflow.com/questions/3837989
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estamos revisando o design de um sistema. E precisa verificar o que achamos que pode ser um problema de segurança.
Neste sistema, algumas informações confidenciais são enviadas na sequência de consultas. Questão é:
- Os parâmetros da string de consulta podem ser lidos à medida que a solicitação passa pela Internet, mesmo que a solicitação seja enviada pelo HTTPS?
- Os parâmetros da string de consulta podem ser lidos no histórico de navegação nas máquinas clientes?
Solução
Quando você usa o HTTPS, a conexão SSL/TLS é estabelecida antes que qualquer tráfego HTTP seja enviado, portanto, toda a solicitação (incluindo o URL e seus parâmetros) será criptografada e não será legível. A única coisa que é possivelmente visível por terceiros é o certificado do servidor (para que eles possam ver o nome do host, mas é isso).
A história do navegador não está protegida de forma alguma pelos HTTPs como tal, embora alguns navegadores possam ter algumas opções de "navegação segura" que excluiriam alguns URLs HTTPs automaticamente. Este finalmente depende do navegador e de sua configuração.
Outras dicas
Este é certamente um problema de segurança se detalhes confidenciais estiverem sendo aprovados na solicitação GET. Dados sensíveis não apenas serão armazenados em cache no navegador do usuário, mas também em qualquer proxy em D Way e Plus nos logs do servidor da web
Sim para o primeiro. Não tenho certeza sobre o segundo - depende do navegador, eu acho - mas eu suspeito, sim, aqui também.
