使用敏感数据发布HTTPS GET请求的安全隐患

Question

使用URL中的敏感数据进行HTTPS/SSL GET操作是否有任何安全隐患？这将在IIS日志中以明文形式记录吗？可以在开放的WiFi接入点上嗅探网络流量请求吗？

即 https://www.websiteurl.com/get.aspx?user=user&password=password

Answer 1

这里更好地回答了问题:https URL是否已加密？

1. URL已加密.
2. 但是,明文可能会很好地显示在目标服务器的日志中,因为服务器将对其进行解密,并根据设置将值存储在日志中.
3. 可以嗅探的唯一部分是dns部分.在这种情况下www.websiteurl.com

也就是说,最好不要在查询字符串上使用带有用户名/ pw的get请求.

编辑 我想再添加一点.

4. 浏览器历史记录中提供了请求的完整未加密 URL GET.如果某些东西能够嗅探浏览器历史记录,那么它就可以完全访问查询字符串中的内容.
5. HTTP Referrer问题.如果用户单击指向其他站点的链接,则可以将URL提交到第三个站点.

在#2和#4之间,使用敏感数据的查询字符串是不明智的.