Безопасность https-логина?

Question

Я пишу приложение для Apple iOS, которое входит в аккаунт и получает некоторый баланс. Для входа в систему используется простая HTML-ссылка:

https://www.myaccount.com/login.jsp?username=myusername&password=mypassword

Имя пользователя и пароль динамически загружаются в ссылку для входа в систему во время выполнения.

Я прослушал трафик с помощью Wireshark и не смог найти имя пользователя или пароль ни в одном из отправляемых пакетов. Я думаю, что SSL (?) Вещь "https" зашифровал запрос.

Я прав? Это безопасный способ? Есть еще мысли? Как мне обращаться с паролем в приложении, чтобы избежать проблем с безопасностью? Это кешируется? Нужно ли зашифровывать его, если я хочу, чтобы приложение запомнило мой пароль?

Answer 1

Хотя технически безопасно, как указал Шурд, это просто отлично для социальной инженерии. В интернет-кафе: «Черт возьми, это крутая статья.

Вы не поверите, сколько людей влюбляется в подобные вещи.

Другим недостатком является то, что браузеры, как правило, кешируют URL-адреса, что опять-таки очень небезопасно в ситуациях, когда несколько человек имеют доступ к одному и тому же компьютеру.

Гораздо лучший способ - использовать Базовую аутентификацию HTTP или хотя бы HTTP POSTing данных.

Answer 2

Это безопасно в том смысле, что его невозможно прослушать, поскольку запрос отправляется по зашифрованному каналу HTTPS.Однако он отображается в адресной строке браузера и, возможно, в файлах журналов сервера.

Более безопасный способ - отправить имя пользователя и пароль на страницу JSP, чтобы они не отображались.в URL.