with services example consume web-services http rest ssl

web-services - services - web service with ssl java



¿Los encabezados de solicitud REST están encriptados por SSL? (8)

Las otras respuestas son correctas de que los encabezados de hecho están encriptados, junto con el cuerpo, cuando se usa SSL. Pero tenga en cuenta que la URL, que puede incluir parámetros de consulta, nunca se cifra. Por lo tanto, tenga cuidado de nunca poner información confidencial en los parámetros de consulta de URL.

Actualización: como @blowdart señaló a continuación, esto está mal. Vea el comentario a continuación.

Estoy desarrollando una aplicación cliente / servidor que se comunicará a través del reposo. Algunos datos de solicitudes personalizadas se almacenarán en el encabezado de la solicitud. Tanto el servidor que envía la solicitud como el servidor receptor tienen un certificado SSL: ¿se codificarán los encabezados o solo el contenido?

Mientras se comunique en el túnel SSL, todo lo enviado entre el servidor y el cliente será encriptado. El cifrado se realiza antes de que se envíen o reciban datos.

Parece que piensas que REST es un protocolo distinto.

REST no es un protocolo. Es un estilo de diseño para aplicaciones basadas en HTTP.

Entonces, estás escribiendo una aplicación HTTP. ¿Los encabezados están encriptados? Sí, si está utilizando el protocolo HTTPS (HTTP sobre SSL) en lugar de HTTP simple.

Tener certificados en ambos lados no es directamente relevante para su pregunta. Los certificados SSL se utilizan para la autenticación. Ayudan a detectar ataques de hombre en el medio, como los que son posibles usando el envenenamiento de caché de DNS.

SSL ... o más bien HTTPS (HTTP sobre SSL) envía todo el contenido HTTP a través de SSL, y como el contenido HTTP y los encabezados son de hecho lo mismo, esto significa que los encabezados también están encriptados. Al ver que los datos GET y POST se envían a través de encabezados HTTP, entonces solo tiene sentido que al enviar datos de forma segura, no solo querrá que el código de respuesta o el contenido se cifre.

SSL encripta toda la ruta de comunicaciones del cliente al servidor y viceversa, entonces sí, los encabezados serán encriptados.

Por cierto, si desarrolla aplicaciones en red y se preocupa por la seguridad de los datos, lo mínimo que debe hacer es leer un libro como Practical Cryptography, de Niels Ferguson y Bruce Schneier, y probablemente leer más sobre la seguridad de las aplicaciones web sería una buena idea idea. Si puedo hacer una observación, y por favor, no me refiero a una crítica personal, su pregunta indica una falta fundamental de comprensión de las tecnologías de seguridad web muy básicas, y eso nunca es una buena señal.

Además, nunca es una mala idea confirmar que los datos que se supone que están encriptados están de hecho encriptados. Puede usar un analizador de red para monitorear el tráfico en el cable y tener cuidado con cualquier cosa sensible que se envíe a la luz. He usado Wireshark para hacer esto antes, los resultados pueden ser sorprendentes, a veces.

Tanto los encabezados como el contenido están encriptados.

Tener un certificado no es suficiente, debe configurar el servidor web para encriptar las conexiones (es decir, para usar el certificado) para ese dominio o host virtual. Además, creo que solo necesitaría un certificado único, las respuestas a las solicitudes seguirán encriptadas.

Y sí, los encabezados HTTP están encriptados al igual que los datos.