security - HTTP POST はどのくらい安全ですか?

Question

POST は、ログイン資格情報を送信するのに十分安全ですか?

それとも SSL 接続は必須ですか?

Answer 1

SSLは必須です。

POST メソッドは、ネットワーク上で暗号化されずに送信されるため、GET よりも安全ではありません。

SSL は HTTP 通信全体をカバーし、クライアントとサーバー間で送信される HTTP データを暗号化します。

Answer 2

それはあなたの状況にもよりますが、資格情報の傍受はどのくらいの費用がかかりますか?

ソフトウェアの Q&A サイトにログインするだけの場合は SSL は必要ないかもしれませんが、オンライン バンキング サイトやクレジット カード データを保存している場合は必要です。
これはビジネス上の決定であり、技術的な決定ではありません。

Answer 3

HTTP POST は暗号化されていないため、ネットワーク スニファやプロキシによって傍受されたり、カスタマイズされたログ レベルでサーバーのログに漏えいしたりする可能性があります。はい、POST データは通常、プロキシまたはサーバーによってログに記録されませんが、安全ではないため、POST は GET よりも優れています。パスワードやその他の機密データを保護するには、POST の前に SSL を使用するかデータを暗号化する必要があります。もう 1 つのオプションは、ブラウザーでダイジェスト認証を使用することです (RFC 2617 を参照)。(自家製の) 暗号化は、リプレイ攻撃を防ぐのに十分ではないことに注意してください。暗号化する前に、ノンスと他のデータ (レルムなど) を連結する必要があります (Digest Auth での方法については、RFC 2617 を参照してください)。

Answer 4

SSLは必須です:)

HTTP Post はプレーン テキストで送信されます。たとえば、Fiddler をダウンロードして使用し、HTTP トラフィックを監視します。投稿全体を簡単に見ることができます (または WireShark のようなネットワーク トラフィック モニターを介して)。

Answer 5

安全ではありません。POST は、GET と同じくらい簡単にスニッフィングできます。

Answer 6

いいえ... POST はまったく安全ではありません。SSL は必須です。

POST は、クエリ文字列内のパラメーターを効果的に非表示にするだけです。これらのパラメーターは、ブラウザーとエンドポイントの間のトラフィックを見ている人なら誰でも取得できます。

Answer 7

POST は平文です。

安全な接続は必須です。

それが安全な接続と呼ばれる理由です。

Answer 8

すべてのデータがプレーン テキストで「移動」するため、POST 要求だけでは安全ではありません。

セキュリティを確保するには、SSL が必要です。

Answer 9

いいえ、SSL を使用します。

POST では、SSL が使用されていない限り、値は引き続きプレーン テキストとして送信されます。

Answer 10

この素晴らしい記事をご覧ください：

悪意のある POST リクエストから保護する

https://perishablepress.com/protect-post-requests/

Answer 11

HTTP GET と HTTP POST の唯一の違いは、データがエンコードされる方法です。どちらの場合も、プレーンテキストとして送信されます。

ログイン資格情報にあらゆる種類のセキュリティを提供するには、HTTPS が必須です。

HTTPS を提供するために高価な証明書も必要ありません。非常に基本的な証明書を約 20 米ドルで発行する多くのプロバイダーがあります。より高価なものには、電子商取引サイトにとってより重要な身元確認が含まれます.

Answer 12

暗号化されていない HTTP 接続を使用している場合、POST データはプレーン テキストで送信されます。これで十分安全かどうかは、使用状況によって異なります (ヒント: そうではありません)。

サーバー、クライアント マシン、およびそれらの間のすべてのマシンの両方が、制御された完全に信頼されたネットワークの一部である場合、これで問題ない可能性があります。

これらの非常に限られた状況以外では (場合によってはその中でも) プレーン テキスト認証は問題を引き起こします。