HTTPS, URL-адрес и строка запроса

Question

Это сообщение из моего предыдущего вопроса о BASIC-аутентификации через HTTPS

Безопасно ли передаются путь к ресурсу и строка запроса на сервер, если я использую HTTPS?

т.е.
URI: http://server/path/to/a/resource?with=a&query=string
Сервер: Сервер
Путь: / путь / к / a /ресурс
строка запроса: with = a & query = string

Answer 1

Это действительно хорошее объяснение этого: http://answers.google.com/answers/threadview/id/758002.html#answer

Сводка: только хост и порт будут видны в незашифрованном виде.

Короче да. Но вы не должны хранить конфиденциальные данные в URL-адресах, так как они могут быть видны в истории браузера и логах сервера. И тот, кто смотрит через плечо, тоже это видит.

Answer 2

Да, это так - весь сеанс защищен и зашифрован, поэтому все, что вы отправляете, включая строку запроса, нечитабельно.

Вы можете доказать это себе, если хотите, используя что-то вроде Fiddler для просмотра трафика http / https, который вы генерируете при посещении защищенного URL.Все, что вы отправляете по HTTPS, не будет показывать строку запроса, как показано здесь:

Фактический URL-адрес, который я посещал, выглядел так:

https://www.halifax -online.co.uk / _mem_bin / formslogin.asp? Source = halifaxcouk & simigvis =

Как и в других ответах, вы не должны передавать конфиденциальную информацию в строке запросапоскольку это может храниться в файлах журналов вашего веб-сервера, поэтому, если вы передаете комбинацию имени пользователя и пароля, любой, кто сможет получить доступ к вашим журналам, сможет получить эту информацию.Это может позволить кому-либо войти в ваш сайт / приложение , как если бы он был кем-то другим , даже если вы прилагаете усилия, такие как хранение паролей в вашей базе данных в виде соленых хешей, а не в виде открытого текста.

Answer 3

HTTPS - это просто HTTP-туннель через SSL-соединение.Это означает, что запрос, ответ, заголовки и содержимое находятся в туннеле SSL и поэтому должны быть зашифрованы.