0
Est-il possible d'envoyer des données sensibles non chiffrées, telles qu'un mot de passe, via POST?Un POST peut-il contenir des données sensibles non cryptées?
A
Répondre
6
Ce n'est pas sûr, sauf si SSL. Toujours parfaitement possible, cependant.
4
Définir "sûr". Sans HTTPS, la méthode ne résistera pas aux attaques qui indisposent votre connexion: Les données seront transférées non cryptées.
C'est pourquoi vous devez utiliser SSL lors de la transmission de données de carte de crédit par exemple. Contrairement à GET, cependant, les données POST ne seront pas stockées dans l'historique de l'URL du navigateur, ni dans les journaux Proxy, etc. C'est toujours la méthode de choix pour les processus de connexion pas totalement sensibles dans le monde entier.
0
Prenons un exemple populaire et récent, Facebook envoie des données sensibles via une connexion non cryptée.
Certains très facile à installer l'outil comme firesheep vous obtiendrez toutes les données et vous accorder l'accès à d'autres comptes facebook de peuples.
Si vous utilisiez SSL, cela ne serait pas arrivé.
+1
Vaut peut-être aussi la peine de signaler Fiddler ici, c'est un écouteur de trafic dépendant du navigateur, qui est très puissant. –
1
Si la question utilise POST vs GET. Ensuite, non, le test POST n'ajoute aucun avantage de sécurité significatif par rapport à l'utilisation de GET.
Je vous recommande de visiter le site Web du projet Open Web Application Security, qui offre de nombreux conseils utiles sur la sécurité (organisation sans but lucratif). http://www.owasp.org
Merci :) Cela signifie donc que je devrai d'abord crypter le mot de passe? – Ell
Je voudrais juste utiliser SSL pour crypter votre POST plutôt que de concevoir votre propre schéma de cryptage. – vcsjones
Comme l'ont dit les vcsjones, utilisez simplement SSL pour le chiffrer. Vous n'avez pas besoin de faire quoi que ce soit, seulement la requête se cryptera si vous utilisez SSL. Voir ce lien, http://en.wikipedia.org/wiki/Basic_access_authentication. Ce n'est pas crypté, mais il est codé. Ce n'est toujours pas sécurisé par aucun effort. –