Шифрование данных POST - достаточно ли HTTPS?

Question

Рассмотрим сценарий, в котором аутентификация пользователя (имя пользователя и пароль) вводится пользователем в элемент формы страницы, который затем отправляется.Данные POST отправляются через HTTPS на новую страницу (где php-код проверяет учетные данные).Теперь, если хакер сидит в сети и говорит, что имеет доступ ко всему трафику, достаточно ли в этом случае безопасности на уровне приложений (HTTPS)?Я имею в виду, будет ли адекватное шифрование URL-адреса или необходимо обеспечить безопасность транспортного уровня?

Answer 1

Да, все (включая URL) проходит через зашифрованный канал.Единственное, что злодей узнает, - это IP-адрес сервера, к которому вы подключаетесь, и что вы используете HTTPS.

Ну, если бы он также отслеживал ваши DNS-запросы, он мог бы также знать,доменное имя IP-адреса.Но только это, путь, параметры запроса и все остальное зашифровано.

Answer 2

Да.В HTTPS только рукопожатие выполняется в незашифрованном виде, но даже запросы HTTP GET / POST выполняются в зашифрованном виде.

Однако невозможно скрыть, к какому серверу вы подключаетесь, поскольку он может видеть ваши пакеты, которые он может видетьIP-адрес, куда отправляются ваши пакеты.Если вы тоже хотите это скрыть, вы можете использовать прокси-сервер (хотя хакер будет знать, что вы отправляете на прокси-сервер, но не туда, куда отправляются ваши пакеты).

Answer 3

HTTPS достаточно, «если» клиент защищен. В противном случае кто-то может установить пользовательский сертификат и играть в «человек посередине».

Как веб-разработчик мало что можно сделать, кроме запрета HTTP-запросов. Это можно сделать через mod_rewrite в Apache.

Answer 4

Достаточно, потому что, если у него есть доступ ко всему вашему трафику, не имеет значения, какой протокол шифрования вы используете, он может использовать человека посередине для обоих протоколов шифрования.