Como seguro é um HTTP POST?
https://stackoverflow.com/questions/1008668
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
é um bastante seguro POST para enviar credenciais de login de novo?
Ou é uma conexão SSL um deve ?
Solução
SSL é uma obrigação. POST não é mais seguro do que GET como também é enviar sem criptografia. SSL irá cobrir toda a comunicação HTTP e criptografar o HTTP dados enviados entre o cliente eo servidor.
Outras dicas
<shameless plug>I Tem um post no blog que os detalhes o que é um solicitação HTTP parece e como um pedido GET compara a um pedido POST. Por razões de brevidade, GET:
GET /?page=123 HTTP/1.1 CRLF
Host: jasonmbaker.wordpress.com CRLF
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1 CRLF
Connection: close CRLF
e POST:
POST / HTTP/1.1 CRLF
Host: jasonmbaker.wordpress.com CRLF
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1 CRLF
Connection: close CRLF
CRLF
page=123
(A CRLF é apenas uma nova linha)
Como você pode ver, as únicas diferenças do ponto de vista de como um pedido é formado * é que uma solicitação POST usa a palavra POST e os dados do formulário é enviado no corpo do pedido vs o URI. Assim, usando HTTP POST é segurança por obscuridade. Se você quiser proteger os dados, você deve usar SSL.
* Note que existem < em> são outras diferenças .
Isso depende de suas circunstâncias, quanto seria a intercepção das credenciais custar alguém?
Se é apenas um login para um Q + Um site software, em seguida, SSL pode não ser necessário, se é um site de banco on-line ou você armazenar dados de cartão de crédito, então é.
Este é um negócio não uma decisão techncial.
HTTP POST não é criptografada, ele pode ser interceptado por um sniffer de rede, por um proxy ou vazou nos logs do servidor com um nível de registo personalizado. Sim, POST é melhor do que GET porque os dados POST não é normalmete registrado por um proxy ou servidor, mas não é garantir . Para garantir uma senha ou outros dados confidenciais que você deve usar SSL ou encriptar os dados antes de POST. Outra opção seria usar a autenticação Digest com o navegador (veja RFC 2617). Lembre-se que (adulto casa) criptografia não é suficiente para evitar ataques de repetição, você deve concatenar um nonce e outros dados (ex. Realm) antes de criptografar (ver RFC 2617 para como é feito no Digest Auth).
SSL é uma obrigação:)
HTTP POST é transmitida em texto simples. Por exemplo, faça o download e uso Fiddler para assistir o tráfego HTTP. Você pode facilmente ver o post inteiro lá dentro (ou através de um monitor de tráfego de rede como Wireshark)
Não é seguro. Um POST pode ser inalado tão facilmente como um GET.
Não ... POST não é suficiente seguro em tudo. SSL é uma obrigação.
POST esconde só efetivamente os parâmetros na cadeia de consulta. Esses parâmetros ainda pode ser pego por qualquer pessoa olhando para o tráfego entre o navegador e o ponto final.
A maneira mais segura é a de não enviar credenciais em tudo.
Se você usar Autenticação Digest , então SSL é não uma obrigação.
(NB: Não estou querendo dizer que a autenticação Digest sobre HTTP é sempre mais seguro do que usar POST HTTPS).
POST é texto simples.
A conexão segura é uma obrigação.
É por isso que ele é chamado de uma ligação segura.
Não, o uso de SSL.
Com POST os valores são ainda apresentados como texto simples, a menos que SSL é utilizado.
A única diferença entre HTTP GET e POST HTTP é a maneira pela qual os dados são codificados. Em ambos os casos ele é enviado como texto simples.
A fim de fornecer qualquer tipo de segurança para as credenciais de login, HTTPS é uma obrigação.
Você não precisa de um certificado caro para fornecer HTTPS também. Há muitos fornecedores que emitem certificados muito básicos para cerca de US $ 20USD. Os mais caros incluem verificação de identidade que é mais uma preocupação para sites de comércio eletrônico.
O pedido de um POST sozinho não é seguro, porque todos os dados são "viajar" em texto simples.
Você precisa de SSL, para torná-lo seguro.
POST é enviada em texto simples se você estiver usando uma conexão HTTP não encriptado. Se isso é seguro o suficiente depende do seu uso (dica: não é).
Se o servidor, a máquina do cliente e todas as máquinas entre eles são parte de uma rede controlada, totalmente confiável, este pode ser ok.
Fora destas circunstâncias muito limitadas (e às vezes até dentro deles) autenticação de texto simples é pedir problemas.
Por favor, veja este excelente artigo:
proteger contra malicioso envie mensagens com pedidos
