1. घर
  2. सवाल और जवाब
  3. क्या क्वेरीस्ट्रिंग पैरामीटर HTTPS (HTTP + SSL) में सुरक्षित हैं?

क्या क्वेरीस्ट्रिंग पैरामीटर HTTPS (HTTP + SSL) में सुरक्षित हैं?

2010-04-13 14 views
236

क्या अनुरोध के साथ भेजे जाने पर क्वेरीस्ट्रिंग पैरामीटर HTTPS में एन्क्रिप्ट किया गया है?क्या क्वेरीस्ट्रिंग पैरामीटर HTTPS (HTTP + SSL) में सुरक्षित हैं?

स्रोत

2010-04-13 Deep

+1

http://stackoverflow.com/questions/893959/if-you-use-https-will-your-url-params-will-be-safe-from-sniffing –

+3

संभावित डुप्लिकेट का डुप्लिकेट [क्या एक HTTPS है क्वेरी स्ट्रिंग सुरक्षित?] (http://stackoverflow.com/questions/323200/is-an-https-query-string-secure) – andand

+0

http://www.securityweek.com/hackers-can-intercept-https-urls -proxy-attack – Tom

उत्तर

272

हां। क्वेरीस्ट्रिंग एसएसएल के साथ भी एन्क्रिप्ट किया गया है। फिर भी, this article दिखाता है, यूआरएल में संवेदनशील जानकारी डालना अच्छा नहीं है। उदाहरण के लिए:

यूआरएल वेब सर्वर लॉग में जमा हो जाती है - आमतौर पर प्रत्येक अनुरोध के पूरे यूआरएल एक सर्वर लॉग में संग्रहित है। इसका मतलब है कि में किसी भी संवेदनशील डेटा यूआरएल (जैसे कोई पासवर्ड) किया जा रहा सर्वर

स्रोत

2010-04-13 11:52:20

+10

तो इसका मतलब यह है कि, जब डिजिटलऑअन, Google या अन्य आपको क्वेरी पैरामीटर में अपनी एपीआई कुंजी डालने के लिए कहते हैं, तो जिनके पास लॉग में केवल पढ़ने के लिए पहुंच हो सकती है, वे आपकी आईडी बना सकते हैं? कहें कि अगर लॉगग्ली में कोई भी जानकारी लेता है, तो बहुत सारी सेवाओं से समझौता किया जाएगा? – Adrien

+7

एपीआई कुंजी एक अल्पकालिक टोकन है, जो आमतौर पर एक घंटे या एक महीने (ओथ और इसी तरह की सेवाओं के लिए) के लिए मान्य है - लेकिन अगर उस परिमाण का उल्लंघन होता है, तो वे सभी बकाया टोकन को अमान्य कर देंगे। हर किसी को अपने (संभवतः) सुरक्षित पासवर्ड का उपयोग करके फिर से प्रमाणित करना होगा। –

+1

रेल उपयोगकर्ताओं के लिए FYI ... जब आप 'config.filter_parameters' निर्दिष्ट करते हैं तो क्वेरी स्ट्रिंग को पोस्ट पैरा के अलावा फ़िल्टर किया जाता है http://stackoverflow.com/questions/2062405/filtering-parts-or-all-of-request-url -फ्रॉम-रेल-लॉग – colllin

36

क्वेरी स्ट्रिंग, पूरे यूआरएल, और यहां तक ​​के प्रकार सहित पूरे संचरण, पर स्पष्ट पाठ में सहेजा जाता है अनुरोध (GET, POST, आदि) HTTPS का उपयोग करते समय एन्क्रिप्ट किया गया है।

स्रोत

2010-04-13 11:54:57

+8

** सावधान! ** भले ही पूरा यूआरएल एन्क्रिप्ट किया गया हो, भले ही एन्क्रिप्टेड ट्रांसमिशन से पहले प्रारंभिक एसएसएल हैंडशेक के दौरान मेजबान का नाम देखा जा सके! –

97

याद रखें, एसएसएल/टीएलएस ट्रांसपोर्ट लेयर पर काम करता है, इसलिए सभी क्रिप्टो goo एप्लिकेशन-लेयर HTTP सामान के अंतर्गत होता है।

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

कहा, का लंबा रास्ता तय करना है कि "हां!"

स्रोत

2010-04-14 01:17:27

3

मैं यहाँ दी गई सलाह से असहमत - स्वीकार किए जाते हैं जवाब के लिए भी संदर्भ निष्कर्ष निकाला है:

आप निश्चित रूप से HTTPS के साथ प्रयोग के क्वेरी स्ट्रिंग पैरामीटर है, लेकिन कुछ भी कि उपस्थित हो सकते हैं के लिए उन्हें का उपयोग नहीं करते कर सकते हैं एक सुरक्षा समस्या। उदाहरण के लिए, आप उन्हें सुरक्षित रूप से पहचान भाग संख्या या 'खातादृश्य' या 'प्रिंटपेज' जैसे प्रदर्शन के प्रकारों में सुरक्षित रूप से उपयोग कर सकते हैं, लेकिन पासवर्ड, क्रेडिट कार्ड नंबर या जानकारी के अन्य टुकड़ों के लिए उनका उपयोग न करें जो सार्वजनिक रूप से नहीं होनी चाहिए उपलब्ध।

तो, नहीं, वे वास्तव में सुरक्षित नहीं हैं ...!

स्रोत

2014-04-07 07:56:31

+28

सभी उत्तर इस बात पर सहमत हैं कि वे कितने सुरक्षित हैं, और सवाल यह नहीं था कि वे "सुरक्षित" हैं या नहीं। यह था कि एचटीटीपीएस में जीईटी पैरामीटर एन्क्रिप्ट किए गए हैं या नहीं। जिसका उत्तर दिया गया है, साथ ही उद्धरण के साथ। मुझे नहीं पता कि आपका जवाब प्रश्न के संबंध में यहां जोड़ने का प्रयास कर रहा है, क्योंकि यह अस्पष्ट और व्युत्पन्न है। –

संबंधित मुद्दे

 संबंधित मुद्दे