webentwicklung-frage-antwort-db.com.de

Sind Querystring-Parameter in HTTPS (HTTP + SSL) sicher?

Werden Querystring-Parameter in HTTPS verschlüsselt, wenn sie mit einer Anfrage gesendet werden?

333
Deep

Ja. Der Querystring wird ebenfalls mit SSL verschlüsselt. Dennoch, wie dieser Artikel zeigt, ist es keine gute Idee, vertrauliche Informationen in die URL einzufügen. Zum Beispiel:

URLs werden in Webserverprotokollen gespeichert. In der Regel wird die gesamte URL jeder Anforderung in einem Serverprotokoll gespeichert. Dies bedeutet, dass alle vertraulichen Daten in der URL (z. B. ein Passwort) im Klartext auf dem Server gespeichert werden

373
Joe Ratzer

denken Sie daran, dass SSL/TLS auf der Transportschicht ausgeführt wird, sodass die gesamte Verschlüsselung unter dem HTTP-Material der Anwendungsschicht erfolgt.

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

das ist der lange Weg zu sagen: "Ja!"

121

Die gesamte Übertragung, einschließlich der Abfragezeichenfolge, der gesamten URL und sogar der Art der Anforderung (GET, POST usw.) wird bei Verwendung von HTTPS verschlüsselt.

47
Marcelo Cantos

Ich bin mit den hier gegebenen Ratschlägen nicht einverstanden - selbst die Referenz für die akzeptierte Antwort kommt zu dem Schluss:

Sie können natürlich Abfragezeichenfolgenparameter mit HTTPS verwenden, diese jedoch nicht für alles verwenden, was ein Sicherheitsproblem darstellen könnte. Sie können sie beispielsweise sicher verwenden, um Teilenummern oder Anzeigetypen wie "Kontoansicht" oder "Druckseite" zu identifizieren. Verwenden Sie sie jedoch nicht für Kennwörter, Kreditkartennummern oder andere Informationen, die nicht öffentlich verfügbar sein sollten.

Also, nein, sie sind nicht wirklich sicher ...!

4
Steve Winter