システムの設計を見直しています。そして、セキュリティの問題であると私たちが考えるものを検証する必要があります。
このシステムでは、いくつかの機密情報がクエリ文字列で送信されます。質問は:
- リクエストがhttps経由で送信された場合でも、リクエストがインターネット経由で送信されるときにクエリ文字列パラメータを読み取ることはできますか?
- クライアントマシンの閲覧履歴からクエリ文字列パラメータを読み取ることはできますか?
2442 次
3 に答える
9
HTTPSを使用する場合、HTTPトラフィックが送信される前にSSL / TLS接続が確立されるため、リクエスト全体(URLとそのパラメーターを含む)が暗号化され、読み取りできなくなります。サードパーティに表示される可能性があるのはサーバー証明書だけです(したがって、サードパーティはホスト名を表示できますが、それだけです)。
一部のブラウザには、おそらく一部のHTTPS URLを自動的に削除する「安全なブラウジング」オプションがある場合がありますが、ブラウザの履歴はHTTPS自体によって保護されていません。これは最終的にはブラウザとその構成に依存します。
于 2010-10-01T14:32:22.223 に答える
0
機密情報がgetリクエストで渡される場合、これは確かにセキュリティの問題です。機密データは、ユーザーのブラウザだけでなく、途中のプロキシやWebサーバーログにもキャッシュされます。
于 2013-02-13T09:52:49.310 に答える
-1
はい、最初はそうです。2番目についてはわかりません-ブラウザによって異なりますが、私は推測します-しかし、私は、はい、ここでもそうだと思います。
于 2010-10-01T09:42:06.677 に答える