www.22138com「太阳集团游戏」太阳2007娱乐官方网址

欢迎更多朋友与我们www.22138com合作,太阳集团游戏是由安全软件管理软件整合而成的最新安全卫士,其实这是因为目前已经推出了太阳2007娱乐官方网址的新网址,带您体验至尊级享受!。

即使用了 https 也不要通过 query strings 传敏感数据

2019-05-03 23:58 来源:未知

至于作者:xiaoheike

太阳2007娱乐官方网址 1

简要介绍还没来得及写 :) 个人主页 · 作者的篇章 · 太阳2007娱乐官方网址, 10 ·   www.22138com,   

太阳2007娱乐官方网址 2

即使用了 https 也不要通过 query strings 传敏感数据。即利用了 https 也不用通过 query strings 传敏感数据

2017/10/16 · 基本功本领 · 即使用了 https 也不要通过 query strings 传敏感数据。HTTPS

本文由 伯乐在线 - xiaoheike太阳集团游戏, 翻译,艾凌风 校稿。未经许可,禁止转发!
英文出处:HttpWatch。应接参加翻译组。

劳务器端的 log 将公开记下完整 url;浏览器上的走访历史也会公开记下完整 url;Referrer headers 里也忠实记下完全 url,然后在外人家的 谷歌Analytics 上出示。

作者们平日听到的三个广泛难点是:“URL 中的参数是不是足以安枕无忧地传递到安全网址?”那个主题材料时常出现在客户看了 HttpWatch 捕获的 HTTPS 请求后,想理解还有什么人能够见到这么些多少。

 

举个例子,即便在多个询问中,使用如下安全的 URL 传递密码字符串:

HttpWatch 能够显示安全请求的内容,因为它与浏览器集成,因而它亦可在 HTTPS 请求的 SSL 连接对数据加密在此以前查看数据。太阳2007娱乐官方网址 3

要是你使用网络嗅探器查看,比方 Network Monitor,对于同1个呼吁,你只好够查阅加密然后的数据。在数码包追踪中绝非可知的网站,标题或内容:

太阳2007娱乐官方网址 4

你能够信任 HTTPS 请求是平安的,只要:

  • 未忽略任何SSL证书警告
  • Web 服务器用于运行 SSL 连接的私钥在 Web 服务器自己之外不可用。

从而,在互联网范围,URL 参数是安枕而卧的,不过还有局地别的依照 URL 泄漏数据的方法:

  1. URL 存款和储蓄在 Web 服务器日志中–平时各种请求的共同体 URL 都被寄存在服务器日志中。那意味着 URL 中的任何敏感数据(例如密码)会以公开情势保留在服务器上。以下是行使查询字符串通过 HTTPS 发送密码时存款和储蓄在 httpwatch.com 服务器日志中的条约: **二零零六-0二-20 十:18:27 W3SVC432陆 WWW 20八.10一.3壹.二10 GET /Default.htm password=mypassword 44叁 … 平常以为即正是在服务器上,储存明文密码平素都不是好主张 2.URLs are stored in the browser history – browsers save URL parameters in their history even if the secure pages themselves are not cached. Here’s the IE history displaying the URL parameter:
  2. URL 存款和储蓄在浏览器历史记录中–纵然安全网页自个儿未缓存,浏览器也会将 URL 参数保存在其历史记录中。以下是 IE 的历史记录,突显了 URL 的央求参数:太阳2007娱乐官方网址 5

若果用户创设书签,查询字符串参数也将被贮存。

  1. URLReferrer 请求头中被传送–借使一个平安网页使用能源,比如 javascript,图片也许分析服务,URL 将通过 Referrer 请求头传递到每1个置于对象。有时,查询字符串参数只怕被传送并存放在第贰方站点。在 HttpWatch 中,你能够见到大家的密码字符串正被发送到 Google Analytics太阳2007娱乐官方网址 6

结论

焚薮而田那些标题亟需两步:

  • 只有在相对需要的景况下传递敏感数据。一旦用户被证实,最棒使用全部有限生命周期的会话 ID 来标志它们。

利用会话层级的 cookies 传递消息的优点是:

  • 它们不会储存在浏览器历史记录中或磁盘上
  • 它们常常不存储在服务器日志中
  • 它们不会传送到嵌入式资源,比如图片或 JavaScript
  • 它们仅适用于请求它们的域和路线

以下是大家的在线集团中,用于识别用户的 ASP.NET 会话 cookie 示例:

太阳2007娱乐官方网址 7

请注意,cookie 被限制在域 store.httpwatch.com,并且在浏览器会话截止时过期(即不会储存到磁盘)。

你当然能够经过 HTTPS 传递查询字符串,不过不要在大概出现安全难题的情景下利用。举个例子,你能够安全的行使它们展现部分数字依然项目,像 accountview 或者 printpage,可是不用使用它们传递密码,信用卡号码或许其余不应该明白的新闻。

1 赞 收藏 评论

版权声明:本文由太阳集团发布于太阳2007娱乐官方网址,转载请注明出处:即使用了 https 也不要通过 query strings 传敏感数据