在ajax帖子中通过http发送个人信息。安全吗？为什么？

Question

我现在正在上一些代码学院的课程。这是一项很棒的服务，强烈推荐。

我注意到他们使用了一些跟踪功能。他们使用ajax post将用户信息发送给他们的跟踪提供商。http://track.segment.io/

它会发送一些json -

{"data":{},"newId":"myemail.emailn@gmail.com","api_key":"sfdsdkjf","user_id":"myemail.email@gmail.com","callbackId":111,"attributes":{"firstSeen":"2012-02-15T17:28:23.978Z","lastSeen":"2012-02-15T17:28:23.978Z","temp":false},"context":{"timestamp":"2012-02-15T17:28:23.979Z","visit":{"id":"asfsaasfsa","start":"2012-02-15T15:23:11.000Z","end":"2012-02-15T17:28:23.978Z"}}}

您会注意到，因为我没有设置用户名，所以它使用我的电子邮件作为我是谁的引用对我来说，这似乎是一种糟糕的做法，但我不确定为什么。

我的问题是-

他们是否应该通过https发送此信息？我认为任何个人信息都应该通过https发送，但我真的不明白为什么。这里有安全风险吗？

Answer 1

您说得对，使用JSON有效负载发送HTTP POSTS不如使用HTTPS安全。但是，这并不比包含您的个人信息的任何其他HTTP通信的安全性高或低。

例如，如果您的电子邮件地址位于服务器上普通HTML页的表中：

<table>
   <tr><td>Email:</td><td>myemail.emailn@gmail.com</td></tr>
</table>

...then这和AJAX方法一样是个问题。

它可以归结为站点的需求。如果你正在做像网上银行这样的事情，HTTPS是必须的。然而，我怀疑当你使用Code Aadamy这样的网站时，你不必担心黑客截获HTTP流量，而且HTTPS也是有代价的。

Answer 2

是也不是。总是存在中间人攻击的可能性。但你得问问你自己。我的电子邮件和API密钥在另一个人手中真的那么危险吗？这实际上涉及到项目的风险评估和计算风险管理。

如果公司觉得披露这些凭证不能用来升级攻击，那么这就是为什么这些信息不太安全的原因。然而，如果有升级的可能性，除非你自己尝试哈哈，否则你永远不会知道。

Answer 3

你说得对，他们应该通过https发送个人信息，因为这是一个使用SSL的安全连接。这意味着在你的网络上的任何人都不能(或者，对他来说，这将是非常困难的)获得你请求的数据。

在不使用SSL的情况下，共享您网络的任何人实际上都可以看到您发送/接收的所有数据。

不幸的是，没有办法强制执行这一点。