отправка личной информации по http в посте ajax.Это безопасно?Зачем?

Question

Я сейчас прохожу несколько курсов по кодекадамии.Это отличный сервис, очень рекомендуется.

Я заметил, что они используют некоторое отслеживание.Они используют сообщения ajax для отправки информации о пользователях своему провайдеру отслеживания.http://track.segment.io/

Он отправляет json -

{"data":{},"newId":"myemail.emailn@gmail.com","api_key":"sfdsdkjf","user_id":"myemail.email@gmail.com","callbackId":111,"attributes":{"firstSeen":"2012-02-15T17:28:23.978Z","lastSeen":"2012-02-15T17:28:23.978Z","temp":false},"context":{"timestamp":"2012-02-15T17:28:23.979Z","visit":{"id":"asfsaasfsa","start":"2012-02-15T15:23:11.000Z","end":"2012-02-15T17:28:23.978Z"}}}

Вы заметите, что, поскольку я не установил свое имя пользователя, он использует мою электронную почту как ссылку на то, кто я есть.это кажется плохой практикой для меня, но я не уверен почему.

Мой вопрос -

Должны ли они отправлять эту информацию через https?Я думал, что любая личная информация всегда должна отправляться через https, но я не совсем понимаю, почему.Здесь есть угроза безопасности?

Answer 1

Вы правы, они должны отправлять личную информацию через https, поскольку это защищенное соединение, использующее SSL. Это означает, что кто-либо, находящийся в вашей сети, не может (или, ну, ему будет очень сложно) получить данные ваших запросов.

Без использования SSL любой, кто использует вашу сеть, может видеть все данные, которые вы отправляете / получаете.

К сожалению, нет способа обеспечить это.

Answer 2

Да и нет. Всегда есть вероятность попадания человека в середину атаки. Но вы должны спросить себя ... Является ли моя электронная почта и ключ API настолько опасной в руках другого человека? Это действительно входит в оценку рисков проекта и расчет управления рисками.

Если компания считает, что раскрытие этих учетных данных не может быть использовано для эскалации атаки, поэтому эта информация менее защищена. Однако, если есть возможность обострения, вы никогда не узнаете, если сами не попробуете хаха.

Answer 3

Вы правы, что отправка HTTP POSTS с полезной нагрузкой JSON не так безопасна, как при использовании HTTPS.Однако это не является более или менее безопасным, чем любое другое HTTP-сообщение, содержащее вашу личную информацию.

Например, если ваш адрес электронной почты был в таблице на обычной HTML-странице насервер:

<table>
   <tr><td>Email:</td><td>myemail.emailn@gmail.com</td></tr>
</table>

... тогда это будет такой же проблемой, как и метод AJAX.

Все сводится к требованиям сайта.Если вы делаете что-то вроде онлайн-банкинга, HTTPS является обязательным.Однако я сомневаюсь, что вам придется беспокоиться о том, что хакеры перехватывают HTTP-трафик, когда вы используете такой сайт, как Code Aadamy, а HTTPS также стоит дорого.