security - parametros - Si usa HTTPS, ¿su URL params estará a salvo de olfatear?

En el cable, sí. En los puntos finales (navegador y servidor) no necesariamente. SSL / TLS es la seguridad de la capa de transporte . Encriptará su tráfico entre el navegador y el servidor. Es posible en el lado del navegador echar un vistazo a los datos (un BHO por ejemplo). Una vez que llega al lado del servidor, está disponible para el destinatario por supuesto y es tan seguro como lo trata. Si los datos deben moverse con seguridad más allá del intercambio inicial y están protegidos de miradas indiscretas en el cliente, también debe mirar la seguridad de la capa de mensaje .

Las url: s se almacenarán tanto en los registros del servidor como en el historial del navegador, por lo que incluso si no se pueden olfatear, están lejos de ser seguros.

Sí, su URL estaría a salvo de olfatear; sin embargo, un agujero que se pasa por alto fácilmente es si su página hace referencia a recursos de terceros, como Google Analytics, agregar contenido, su URL completa se enviará al tercero en el referer. Si es realmente sensible, no pertenece a la cadena de consulta.

En cuanto a su segunda parte de la pregunta, no puede usar SSL si no tiene un certificado en el servidor.

SSL / TSL es una Seguridad de la capa de transporte, sí, los datos se pueden seleccionar con BHO (como escribió @JP) o cualquier complemento, pero también con rastreadores HTTP "sin navegador". Leen los mensajes entre winsock32 y la aplicación. El cifrado tiene lugar en el winsock32 no en el navegador.

Eche un vistazo (esta parte fue tomada desde la página de IEinspector): IEInspector HTTP Analyzer es una herramienta tan práctica que le permite monitorear, rastrear, depurar y analizar el tráfico HTTP / HTTPS en tiempo real.

http://answers.google.com/answers/threadview/id/758002.html

HTTPS establece una conexión SSL subyacente antes de transferir cualquier información HTTP. Esto garantiza que todos los datos URL (con la excepción del nombre de host, que se usa para establecer la conexión) se transportan únicamente dentro de esta conexión cifrada y están protegidos de los ataques man-in-the-middle de la misma manera que los datos HTTPS.

Todas las transacciones a nivel HTTP dentro de una conexión HTTPS se llevan a cabo dentro de la sesión SSL establecida, y no se transfieren datos de consulta antes de que se establezca la conexión segura.

Desde el exterior, la única información que es visible para el mundo es el nombre de host y el puerto al que se está conectando. Todo lo demás es simplemente un flujo de datos binarios que se cifra con una clave privada compartida solo entre usted y el servidor.

En el ejemplo que proporcione, su navegador haría esto:

1. Derive el nombre de host (y el puerto si está presente) desde la URL.
2. Conéctese con el host.
3. Verificar certificado (debe estar ''firmado'' por la autoridad conocida, aplicarlo específicamente para corregir la dirección IP y el puerto, y ser actual).
4. El navegador y el servidor intercambian datos criptográficos y el navegador recibe una clave privada.
5. La solicitud HTTP está hecha, encriptada con criptografía establecida.
6. Se recibe respuesta HTTP También encriptado.

HTTP es un protocolo de ''Capa de Aplicación'', se lleva encima de la capa segura. Según la especificación SSL, elaborada por Netscape, dicta que no se pueden transmitir datos de capa de aplicación hasta que se establezca una conexión segura, como se describe en el siguiente párrafo:

"En este punto, el cliente envía un mensaje de especificación de cifrado de cambio y el cliente copia la Especificación de cifrado pendiente en la Especificación de cifrado actual. El cliente envía inmediatamente el mensaje terminado bajo los nuevos algoritmos, claves y secretos. , el servidor enviará su propio mensaje de especificación de cifrado de cambio, transferirá el pendiente a la especificación de cifrado actual y enviará su mensaje terminado bajo la nueva especificación de cifrado. En este punto, se completa el intercambio y el cliente y el servidor pueden comenzar a intercambiar la aplicación datos de capa. " http://wp.netscape.com/eng/ssl3/draft302.txt

Entonces sí. Los datos contenidos en la consulta URL en una conexión HTTPS están encriptados . Sin embargo, es una práctica muy pobre incluir datos confidenciales como una contraseña en la solicitud ''GET''. Si bien no se puede interceptar, los datos se registrarán en los registros de servidor de texto sin formato en el servidor HTTPS receptor, y posiblemente también en el historial del navegador . Probablemente también esté disponible para los complementos del navegador y posiblemente incluso para otras aplicaciones en la computadora del cliente. A lo sumo, se podría permitir razonablemente que una URL HTTPS incluya una ID de sesión o una variable similar no reutilizable. NUNCA debe contener tokens de autenticación estáticos.

El concepto de conexión HTTP se explica más claramente aquí: http://www.ourshop.com/resources/ssl_step1.html

Depende de lo que quieras decir con seguridad

SSL encripta la solicitud / respuesta HTTP completa, por lo que la URL en la parte GET será encriptada. Esto no detiene los ataques de MITM y la corrupción de la integridad de la sesión de SSL. Si se utiliza un certificado no autorizado, esto hace que los vectores de ataque potenciales sean más simples.

¿Los encabezados de solicitud REST están encriptados por SSL?

Es una pregunta similar