Отправка конфиденциальных данных в качестве параметра строки запроса

Question

Мы рассматриваем проект системы. И нужно проверить, что, по нашему мнению, может быть проблемой безопасности.

В этой системе некоторая конфиденциальная информация отправляется в строке запроса. Вопрос:

• Могут ли параметры строки запроса считываться при отправке запроса через Интернет, даже если запрос отправляется через https?
• Можно ли прочитать параметры строки запроса из истории просмотра на клиентских компьютерах?

Answer 1

Когда вы используете HTTPS, соединение SSL / TLS устанавливается перед отправкой любого HTTP-трафика, поэтому весь запрос (включая URL-адрес и его параметры) будет зашифрован и не будет читаемым.Единственное, что может быть видно сторонним разработчикам, - это сертификат сервера (чтобы они могли видеть имя хоста, но это все).

История браузера никак не защищена HTTPS как таковым, хотянекоторые браузеры могут иметь некоторые опции «безопасного просмотра», которые, возможно, будут автоматически удалять некоторые URL-адреса HTTPS.В конечном итоге это зависит от браузера и его конфигурации.

Answer 2

Это, безусловно, проблема безопасности, если в запросе get передаются конфиденциальные данные.Чувствительные данные будут кэшироваться не только в браузере пользователя, но и на любом прокси-сервере, а также в журналах веб-сервера

Answer 3

Да для первого.Не уверен насчет второго - зависит от браузера, я думаю - но я подозреваю, да, и здесь.