发布包含敏感数据的HTTPS GET请求的安全影响

Question

使用URL中的敏感数据进行HTTPS/SSL GET操作是否有安全隐患？这是否会以明文形式记录在IIS日志中？是否可以在开放的WiFi接入点上嗅探网络流量请求？

即https://www.websiteurl.com/get.aspx?user=user&password=password

Answer 1

问题最好在这里回答：Are https URLs encrypted?

dns

• 网址为encrypted.

• However，明文很可能会显示在目标服务器的日志中，因为服务器会对其进行解密，并根据设置将值存储在日志中。

• 唯一可嗅探的部分是dns部分。在本例中为www.websiteurl.com

也就是说，您最好不要在querystring上使用带有用户名/pw的get请求。

，，我想在这里添加更多内容。

1. 浏览器历史记录中提供了GET请求的完整未加密URL。如果某个东西能够嗅探到浏览器历史，那么它就可以完全访问查询字符串中的任何内容。
2. HTTP Referrer问题。如果用户单击指向其他站点的链接，则可以将该URL提交给第三个站点。

在#2和#4之间，对敏感数据使用查询字符串是不明智的。

Answer 2

HTTPS是建立在SSL/TLS之上的HTTP。这意味着HTTP交互的整个内容，包括URL，都是加密的。只有服务器的IP地址和端口等网络级信息是未加密的。See HTTPS on wikipedia.

然而，同时，这只是网络级别的安全性--无论哪个web服务器接收到请求，在将其传递到任何托管的web应用程序之前，都会对其进行解密(并可能将其留在日志中)。如果您选择使用基本身份验证，HTTPS会保护最明显的问题(以明文发送密码)，但它有some other issues。

您提到这是在两个系统之间交换的数据，我认为这意味着您正在实现连接的客户端。在这种情况下，无论您如何发送数据(GET/POST/headers/等)，都需要格外小心地验证要连接到的机器的SSL证书。如果一个中间人可以让你根据他的密钥而不是你信任的服务器的密钥来加密数据，那么加密敏感数据对你一点帮助都没有。这是一个huge source of vulnerabilities。

Answer 3

和我写的here一样。不是一个好主意，浏览器缓存URL，容易受到社会工程的影响，它出现在服务器日志中……

请改用POST或基本身份验证。