2

Web サイトが HTTPS ページから別の HTTPS ページへの GET 要求を行う場合、それは安全ですか? 具体的には、URL / クエリ パラメータのデータは安全ですか?

というのも、Stripe.createToken を呼び出すと、クレジット カード番号が含まれる URL に接続されるからです。クエリ パラメーターは _method=POST と表示されていますが、GET クエリ パラメーターを介して送信されています。

Request URL: https://api.stripe.com/v1/tokens?card[number]=4242424242424242&card[cvc]=123&card[exp_month]=4&card[exp_year]=2016&key=pk_test_1236&callback=sjsonp11234&_method=POST
Request Method: GET
Status Code: 200 OK

これはすべて HTTPS 経由であることは理解していますが、URL の部分は安全ではありませんか? URL は、目的地までの道のりのさまざまな場所でログに記録されると思いました。

4

2 に答える 2

3

通常、URL は Web サーバー ログに記録されます。その情報を GET 要求の一部として送信するのは非常に悪い考えです。ただし、クライアントと宛先の間で要求が取るホップ暗号化されています。したがって、Web プロキシなどがない場合、ログに記録される唯一の場所はhttps://api.stripe.com/の Web サーバー上です。

クエリ文字列パラメーターは HTTPS (HTTP + SSL) で安全ですか? を参照してください。詳細については。

于 2013-03-29T19:45:48.353 に答える
1

ストライプ より:

HTTPS の仕組みの性質上、HTTPS 接続にプレーンテキストで送信される唯一の情報は、接続先のホスト名 (この場合は「api.stripe.com」) です。完全な URL を含む通信の他のすべての部分は暗号化されており、当社のサーバーでのみ復号化できます。トランスポート レベルでは、カード所有者の詳細を URL の GET パラメータとして含めることは、それらを POST 本文に含めることと同じです。JSONP は Stripe.js にのみ使用し、サーバー側のバインディングには使用しません。これらのリクエストがサーバー ログに記録されるのが心配な場合に備えてです。

詳細がサーバーに届いたら、サーバーの構成に変更を加えて、クエリ文字列がログに記録されないようにし、カード番号が誤って含まれていないかすべてのログ ファイルをチェックするルーチンを導入しました。PCI 監査員 (Google、Apple、AWS も監査しています) と協力して、これが PCI の基準を満たしていることを確認し、カード所有者データを安全な方法で処理していると確信しています。

于 2013-06-11T18:09:05.210 に答える