SSLは、クエリ文字列で機密データ(パスワードなど)を使用するのに十分安全ですか?実装する追加のオプションはありますか?
16754 次
10 に答える
49
SSLは、安全なトランスポートレベルのセキュリティを提供します。クライアントとサーバーの間の誰もが情報を読み取ることができないはずです。
ただし、クエリ文字列に機密データを書き込むことについては考えを変える必要があります。ブラウザの履歴に表示され、ブラウザのアドレスバーとサーバーのログに表示されます。この記事を参照してください:HTTPSを介したクエリ文字列はどの程度安全ですか?
クエリ文字列を使用することが唯一のオプションである場合(私はそれを疑っています)、クエリ文字列の保護に関する興味深い記事があります。
于 2008-10-10T10:51:14.563 に答える
5
SSL は安全ですが、十分な時間とリソースがあれば、暗号化を破ることができることに注意してください。どのパケットにパスワードが含まれていて、どのパケットに含まれていないかわからない場合、暗号化されたすべてのトラフィックを解読して、正しいものを見つける必要があります。これは一般的なケースでは扱いにくいです。
ただし、ログイン フォームを入力するには、input[type=text] が必要です。これを「アンパック」して、フォーム パラメータにデータを含む POST ではなく、クエリ文字列を使用してリクエストを HTTP GET リクエストに変換するには、作業が必要です。なぜ誰もがこれを行うのか想像できません。ユーザーによってパスワードが提供された (およびユーザーが認証された) 場合は、パスワードを保持するのではなく、認証の事実を使用します。たとえば、偽装のためにパスワードを保持する必要がある場合は、サーバー側で、できれば安全な文字列に保持します。シングル サインオン (多くのサイトで ID/パスワードを 1 回入力) を実行しようとしている場合は、何らかの中央認証サービス (CAS) (OpenID、WindowsLive) を使用するか、独自のものを実装します。
パスワードがネットワークを通過する回数が少ないほど、より良い結果が得られます。
また、前述のように、クエリ文字列に入れる機密データを暗号化およびエンコードする必要があると主張するブラウザのロケーション バーが常に存在します。
于 2008-10-10T11:04:29.683 に答える
2
クエリ文字列内の機密データは悪い考えです。通りすがりの人はクエリ文字列を見ることができ、実際には安全ではないブックマークを作成したくなるでしょう。
SSLは非常に安全です。インターネットバンキングを行っていて、それを信頼している場合は、SSLでも十分です。
于 2008-10-10T10:47:26.253 に答える
2
SSL はセキュア *ish であり、クエリ文字列の問題に同意する
SSL には制限があることに注意してください -
証明書がルート認証されていることを確認してください。
一部の Windows 2000 マシンでは、128 ビット SSL が機能するために SP を適用する必要があります。SP が存在しない場合は、40 ビットまたは doenst ロードになります (記憶が正しければ)。
ISA のような一部のソフトウェア ファイアウォール (安全なサイトとその内部の証明書を公開する場所) は、仲介者のように振る舞います。
ISA に保護してから、LAN に保護します。しかし、ここでの大きな要因は、ISAがログに記録するための「その後」であり、クエリ文字列と投稿のパスワードが表示されるため、ログが問題になります。つまり、誰でも(管理者)が見ることができます...
したがって、パスワードを単純にハッシュするために、使用する言語で安全なハッシュ アルゴリズムを探してください。
于 2008-10-10T10:53:18.647 に答える
2
「十分に安全」というものはありません。セキュリティは、false または true の bool プロパティを持つ静的なものではありません。
SSLは優れていますが、サーバー側の秘密鍵の安全性、鍵のビット数、使用されるアルゴリズム、使用される証明書の信頼性などに依存します....
ただし、SSL を使用すると、少なくとも送信されるすべてのデータが暗号化されます (パッケージのルーティングに使用されるターゲット IP を除く)。
考慮すべきもう 1 つの点は、パスワード クエリ文字列をブラウザに手入力すると、ローカル ブラウザのキャッシュ (完全に暗号化されていないローカル ファイル) に保存される可能性があることです。したがって、GET 転送メカニズムではなく、POST を使用することをお勧めします。
セキュリティに本当に関心がある場合は、そのトピックについてさらに調査することをお勧めします。ほとんどの場合、アルゴリズムがセキュリティの最も弱い点ではないためです。
于 2008-10-10T10:59:54.467 に答える
1
はい、十分に安全です。とにかくクエリ文字列にそのようなものを含めることは通常は良い考えではないことに同意しますが、アドレスバーに表示されるクエリ文字列でなければ問題ありません。明らかな理由でアドレスバーに表示された場合(通りがかりの人など)、セキュリティのレベルが失われます
于 2008-10-10T10:46:00.283 に答える
1
SSL インスペクターは、SSL トラフィックを開くことができます http://www.ssl-inspector.com/files/file/SSL%20Inspector%20Appliance%20Product%20Brief%20(2-11).pdf
于 2011-07-23T08:41:37.693 に答える
0
自己署名証明書は、自分で作成して署名したSSL証明書です。これは、証明書に署名するためにサードパーティの認証局(CA)を必要としないことを意味しますが、自己署名証明書は確実にできないため、ブラウザはデフォルトで警告をスローします(ブラウザにはリストがあります)信頼できるCAの)証明書の署名者が証明書の内容とまったく同じであることを確認します。
特定のレドモンドベースのソフトウェア会社に「代わって」SSL証明書を作成する状況を考えてみてください。これで、HTTPサーバーが自己署名した証明書をクライアントに提示すると、ユーザーエージェントは、この証明書が実際にはその証明書とは異なる可能性があることを警告します。認証局は、書類作成によって、実際の実際の枯れ木の種類を確認します。これにより、署名を要求している当事者の身元が確認されるため、信頼できます。
お役に立てれば。
于 2009-03-13T11:10:53.797 に答える
0
クエリ文字列を使用して、非常に機密性の高いものを送信しないでください。
于 2008-10-10T10:44:06.870 に答える
0
ハッシュ化されたパスワードを送信するべきではありませんか?-私が間違っていても気にしないでください。
SSLはあなたが得ることができるほとんど最もセキュリティです。
于 2008-10-10T10:46:38.987 に答える