क्या अनुरोध के साथ भेजे जाने पर क्वेरीस्ट्रिंग पैरामीटर HTTPS में एन्क्रिप्ट किया गया है?क्या क्वेरीस्ट्रिंग पैरामीटर HTTPS (HTTP + SSL) में सुरक्षित हैं?
उत्तर
हां। क्वेरीस्ट्रिंग एसएसएल के साथ भी एन्क्रिप्ट किया गया है। फिर भी, this article दिखाता है, यूआरएल में संवेदनशील जानकारी डालना अच्छा नहीं है। उदाहरण के लिए:
यूआरएल वेब सर्वर लॉग में जमा हो जाती है - आमतौर पर प्रत्येक अनुरोध के पूरे यूआरएल एक सर्वर लॉग में संग्रहित है। इसका मतलब है कि में किसी भी संवेदनशील डेटा यूआरएल (जैसे कोई पासवर्ड) किया जा रहा सर्वर
तो इसका मतलब यह है कि, जब डिजिटलऑअन, Google या अन्य आपको क्वेरी पैरामीटर में अपनी एपीआई कुंजी डालने के लिए कहते हैं, तो जिनके पास लॉग में केवल पढ़ने के लिए पहुंच हो सकती है, वे आपकी आईडी बना सकते हैं? कहें कि अगर लॉगग्ली में कोई भी जानकारी लेता है, तो बहुत सारी सेवाओं से समझौता किया जाएगा? – Adrien
एपीआई कुंजी एक अल्पकालिक टोकन है, जो आमतौर पर एक घंटे या एक महीने (ओथ और इसी तरह की सेवाओं के लिए) के लिए मान्य है - लेकिन अगर उस परिमाण का उल्लंघन होता है, तो वे सभी बकाया टोकन को अमान्य कर देंगे। हर किसी को अपने (संभवतः) सुरक्षित पासवर्ड का उपयोग करके फिर से प्रमाणित करना होगा। –
रेल उपयोगकर्ताओं के लिए FYI ... जब आप 'config.filter_parameters' निर्दिष्ट करते हैं तो क्वेरी स्ट्रिंग को पोस्ट पैरा के अलावा फ़िल्टर किया जाता है http://stackoverflow.com/questions/2062405/filtering-parts-or-all-of-request-url -फ्रॉम-रेल-लॉग – colllin
क्वेरी स्ट्रिंग, पूरे यूआरएल, और यहां तक के प्रकार सहित पूरे संचरण, पर स्पष्ट पाठ में सहेजा जाता है अनुरोध (GET, POST, आदि) HTTPS का उपयोग करते समय एन्क्रिप्ट किया गया है।
** सावधान! ** भले ही पूरा यूआरएल एन्क्रिप्ट किया गया हो, भले ही एन्क्रिप्टेड ट्रांसमिशन से पहले प्रारंभिक एसएसएल हैंडशेक के दौरान मेजबान का नाम देखा जा सके! –
याद रखें, एसएसएल/टीएलएस ट्रांसपोर्ट लेयर पर काम करता है, इसलिए सभी क्रिप्टो goo एप्लिकेशन-लेयर HTTP सामान के अंतर्गत होता है।
http://en.wikipedia.org/wiki/File:IP_stack_connections.svg
कहा, का लंबा रास्ता तय करना है कि "हां!"
मैं यहाँ दी गई सलाह से असहमत - स्वीकार किए जाते हैं जवाब के लिए भी संदर्भ निष्कर्ष निकाला है:
आप निश्चित रूप से HTTPS के साथ प्रयोग के क्वेरी स्ट्रिंग पैरामीटर है, लेकिन कुछ भी कि उपस्थित हो सकते हैं के लिए उन्हें का उपयोग नहीं करते कर सकते हैं एक सुरक्षा समस्या। उदाहरण के लिए, आप उन्हें सुरक्षित रूप से पहचान भाग संख्या या 'खातादृश्य' या 'प्रिंटपेज' जैसे प्रदर्शन के प्रकारों में सुरक्षित रूप से उपयोग कर सकते हैं, लेकिन पासवर्ड, क्रेडिट कार्ड नंबर या जानकारी के अन्य टुकड़ों के लिए उनका उपयोग न करें जो सार्वजनिक रूप से नहीं होनी चाहिए उपलब्ध।
तो, नहीं, वे वास्तव में सुरक्षित नहीं हैं ...!
सभी उत्तर इस बात पर सहमत हैं कि वे कितने सुरक्षित हैं, और सवाल यह नहीं था कि वे "सुरक्षित" हैं या नहीं। यह था कि एचटीटीपीएस में जीईटी पैरामीटर एन्क्रिप्ट किए गए हैं या नहीं। जिसका उत्तर दिया गया है, साथ ही उद्धरण के साथ। मुझे नहीं पता कि आपका जवाब प्रश्न के संबंध में यहां जोड़ने का प्रयास कर रहा है, क्योंकि यह अस्पष्ट और व्युत्पन्न है। –
- 1. HTTPS और SSL
- 2. HTTP, HTTPS, साझा SSL, और एसईओ
- 3. सुरक्षित (https) से सुरक्षित असुरक्षित सामग्री (http) पर रीडायरेक्ट (https)
- 4. HTTP और HTTPS
- 5. मिश्रित http/https साइट
- 6. HTTPS के साथ, यूआरएल और अनुरोध हेडर सुरक्षित अनुरोध के रूप में सुरक्षित हैं?
- 7. https ssl- बनाम जब उपयोग करने के लिए क्या
- 8. Node.js HTTPS सुरक्षित त्रुटि
- 9. एंड्रॉयड: HTTPS (SSL) 2 क्षुधा है HttpsURLConnection
- 10. CouchDB - विचारों में क्वेरीस्ट्रिंग पैरामीटर तक पहुंच
- 11. सुरक्षित कुकीज़ और मिश्रित https/http साइट उपयोग
- 12. HTTPS कनेक्शन पर गैर-SSL छवियों को कैसे प्रदर्शित करें?
- 13. सुरक्षित HTTPS कनेक्शन
- 14. एंड्रॉइड में सुरक्षित HTTP पोस्ट
- 15. HTTP से HTTPS तक कोई पोस्ट सुरक्षित है?
- 16. यूआरएल "http | https"
- 17. HTTP अनुरोध और क्वेरीस्ट्रिंग बनाम हेडर?
- 18. मैकेनाइजेशन http से https
- 19. क्वेरीस्ट्रिंग
- 20. मैं http और https
- 21. https से http पुनर्निर्देशन
- 22. Do HTTP प्रमाणीकरण से अधिक HTTPS URL
- 23. Django @login_ https छोड़कर https
- 24. mvc3 https और http
- 25. PHP: HTTP या HTTPS?
- 26. HTTPS अनुरोध के दौरान दूरस्थ SSL प्रमाणपत्र सत्यापित करें
- 27. क्वेरीस्ट्रिंग
- 28. PHP में HTTP और HTTPS में कुकी
- 29. (https) Nginx -> (http) Play !. लेकिन request.secure झूठा
- 30. क्या एचटीटीपीएस में कुकी बनाई जा सकती है, और अगर सुरक्षित है तो HTTP में उपयोग किया जा सकता है?
http://stackoverflow.com/questions/893959/if-you-use-https-will-your-url-params-will-be-safe-from-sniffing –
संभावित डुप्लिकेट का डुप्लिकेट [क्या एक HTTPS है क्वेरी स्ट्रिंग सुरक्षित?] (http://stackoverflow.com/questions/323200/is-an-https-query-string-secure) – andand
http://www.securityweek.com/hackers-can-intercept-https-urls -proxy-attack – Tom