Насколько безопасно отправлять конфиденциальные данные по https?

Ответ 1

SSL обеспечивает безопасную безопасность транспортного уровня. Никто из клиентов и серверов не должен читать информацию.

Но вам следует передумать писать конфиденциальные данные в querystring. Он будет отображаться в истории браузера и отображается в адресной строке браузера и в журналах на сервере. См. Эту статью: Насколько защищены строки запроса через HTTPS?

Если использовать строки запроса - это ваш единственный вариант (я сомневаюсь), вот интересная статья об обеспечении строк запроса.

Ответ 2

SSL защищен, но помните, что любое шифрование может быть сломано при наличии достаточного количества времени и ресурсов. Учитывая, что вы не знаете, какие пакеты содержат пароль, а какие нет, вам нужно будет расшифровать весь зашифрованный трафик, чтобы найти правильный. Это неприемлемо в общем случае.

Однако для входа в форму для входа потребуется вход [type = text]. Для "распаковать" это потребуется работа и включить запрос в HTTP-запрос GET с использованием строк запроса, а не POST с данными в параметрах формы. Я не могу себе представить, почему кто-то это сделает. Как только пароль был предоставлен пользователем (и аутентифицирован пользователем), используйте факт проверки подлинности, а не поддерживайте пароль. Если вам нужно сохранить пароль, для олицетворения, скажем, сохранить его на стороне сервера и предпочтительно в безопасной строке. Если вы пытаетесь сделать однократную запись (введите мой идентификатор/пароль один раз для многих сайтов), затем используйте какую-то центральную службу проверки подлинности (CAS) - OpenID, WindowsLive - или реализуйте свои собственные.

Чем меньше раз пароль пересекает провод, тем лучше.

И всегда есть панель местоположения браузера, которая будет утверждать, что вам нужно зашифровать и закодировать любые конфиденциальные данные, которые вы помещаете в строки запроса, как упоминалось ранее.

Ответ 3

Чувствительные данные в строке запроса - плохая идея, случайные прохожие могут видеть строку запроса, и есть соблазн для закладки, которая действительно небезопасна.

SSL довольно безопасен, если вы делаете интернет-банкинг, и вы доверяете ему, тогда SSL будет достаточно для вас.

Ответ 4

согласен с SSL - это безопасный * ish и проблема с запросом

помните, что существуют ограничения на SSL -

убедитесь, что сертификат сертифицирован корнем.

некоторым машинам Windows 2000 необходимо, чтобы sp применялся для работы 128-битного ssl, если его там нет, тогда он переходит на 40-битную или удаленную нагрузку (если я правильно помню)

Некоторые программные брандмауэры, такие как ISA, где вы публикуете безопасный сайт и сертификат внутри него, действуют как человек посередине.

Защитите ISA, затем закрепите в локальной сети. но большой факт здесь - это "тогда", поскольку ISA будет записывать журнал, тогда регистрация является проблемой, поскольку пароль в строке запроса и столб может быть замечен - это означает, что любой (администратор) может видеть...

Ищите безопасные алгоритмы хэширования на вашем языке, чтобы просто хешировать пароль.

Ответ 5

Нет "достаточно защищенного", безопасность не является статической вещью с свойством bool, которое является либо ложным, либо истинным.

SSL хорош, но зависит от того, насколько безопасным является закрытый ключ на стороне сервера, сколько бит имеет ключ, используемый алгоритм, насколько заслуживают доверия используемые сертификаты и т.д....

Но если вы используете SSL, по крайней мере, все ваши передаваемые данные зашифровываются (за исключением целевого IP-адреса, поскольку он используется для маршрутизации вашего пакета).

Еще один момент, который вы должны рассмотреть, - если вы вводите строку запроса пароля вручную в своем браузере, она может оказаться в вашем кеше локального браузера (в полностью незашифрованном локальном файле). Поэтому лучше использовать механизм POST, а не GET.

Если вы действительно заинтересованы в безопасности, я рекомендую больше исследований по этой теме, потому что чаще всего алгоритм является самым слабым местом в безопасности.

Ответ 6

Да, это достаточно безопасно. Хотя я согласен с тем, что обычно это не хорошая идея, чтобы иметь такой материал, как в строке запроса, это нормально, если это не строка запроса, которая будет отображаться в адресной строке. Если он отображается в адресной строке, вы по очевидным причинам теряете уровень безопасности (люди ходят и т.д.)

Ответ 7

Инспектор ssl может открывать трафик ssl http://www.ssl-inspector.com/files/file/SSL%20Inspector%20Appliance%20Product%20Brief%20(2-11).pdf

Ответ 8

вы никогда не должны отправлять критически чувствительные строки запроса!

Ответ 9

Не следует ли отправлять хешированные пароли? - неважно, если я ошибаюсь.

SSL - это самая большая защита, которую вы можете получить.

Ответ 10

Самоподписанные сертификаты - это сертификаты SSL, которые создаются и подписываются сами. Это означает, что вы не требуете, чтобы подписи сертификата выставляли стороннему центру сертификации (ЦС), но это означает, что браузеры по умолчанию предупреждают об этом, поскольку самозаверяющий сертификат не может надежно (ваш браузер имеет список доверенных ЦС) убедитесь, что подписант сертификата - это именно то, что говорит сертификат.

Рассмотрим ситуацию, когда вы создаете сертификат SSL "от имени" определенной компании программного обеспечения Redmond. Теперь, если ваш HTTP-сервер представляет этот сертификат, который вы самозаверяете, клиенту, пользовательский агент будет предупреждать, что этот сертификат не может быть на самом деле, чей он говорит. Центр сертификации проверяет - с помощью документа, реального, фактического мертвого дерева - личность стороны, требующей подписания, следовательно, она заслуживает доверия.

Надеюсь, что это поможет.