3
讀過 http://getpocket.com/api/docs/傳遞用戶名/密碼在http字符串安全爲這個API?
通過HTTP字符串傳遞密碼是否安全?我的理解是,這是不安全的,即使它是HTTPS。正確?
A
回答
2
API文檔聲明您通過HTTPS傳遞。實際上HTTP頭中的所有GET或POST信息都是SSL傳輸的一部分,因此URL參數也被加密,所以GET參數被加密。什麼不能保證是你的客戶將保留什麼。或者,如果有一些其他進程暴露了一些信息,例如您的服務器對主機名進行了DNS查找。另一個例子是,如果你有一個瀏覽器,它保存了你輸入的所有內容的歷史記錄,包括你的https網址,那麼你可能會危及你的安全。
下面是HTTP頭,您的客戶端將啓動一個TCP連接併發送類似如下:
GET /tutorials/other/top-20-mysql-best-practices/ HTTP/1.1
Host: net.tutsplus.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120
Pragma: no-cache
Cache-Control: no-cache
SSL將規定所有的信息與被髮回任何東西一起加密。我會說你使用這個API是安全的,GET和POST方法之間的唯一區別是在POST中參數將在主體中,而使用GET參數在頭中。在這兩種情況下,所有敏感信息都被加密。
1
我原則上同意這聽起來不安全。 URL可以以純文本(甚至通過HTTPS)出現在各種有趣的地方,如日誌。最好避免在任何地方使用明文。
您應該與API作者討論是否有替代策略。例如,它看起來像其中一些方法同時支持POST和GET,在這種情況下,您可能可能會POST密碼細節,這對HTTPS連接來說是一個相對安全的事情。
相關問題
- 1. 在密碼字符串中搜索用戶名子字符串
- 2. php安全,typopast密碼到字符串
- 3. 在HTTP GET查詢參數中傳遞用戶名和密碼
- 4. 安全傳遞字符串的JavaScript
- 5. mongodb - 用戶連接字符串,安全密碼
- 6. 將用戶名/密碼安全地傳遞給另一個JavaScript文件
- 7. 連接字符串中用戶名和密碼的安全性如何?
- 8. 安全超越用戶名/密碼?
- 9. PHP用戶名/密碼安全
- 10. 關於用戶名和密碼安全
- 11. REST WebApi用戶名/密碼安全
- 12. ASP.NET用戶名/密碼安全
- 13. 我如何在api url中傳遞用戶名和密碼
- 14. pyodbc - 在這裏傳遞了什麼用戶名/密碼?
- 15. 使用Apache HTTP客戶端而不將字符串作爲字符串傳遞?
- 16. 使用用戶名和密碼安全登錄到api
- 17. 以整數而不是字符串形式傳遞的用戶名和密碼
- 18. 以安全的方式將新密碼傳遞給HTTP REST API端點
- 19. 傳遞用戶名/密碼捲曲
- 20. WMQ安全退出用戶標識/密碼傳遞問題
- 21. 安全地通過bash傳遞密碼
- 22. WCF安全 - 使用用戶名密碼的傳輸級別安全性
- 23. PHP/MySQL的 - 用於顯示名稱/用戶名/密碼安全字符,與PDO
- 24. 如何通過REST呼叫安全地傳遞用戶名和密碼?
- 25. 如何將密碼和用戶名從servlet傳遞到其他安全
- 26. 將用戶名和密碼信息安全地傳遞給Ajax php腳本
- 27. Howto:將用戶名和密碼安全地傳回webview
- 28. 查詢Restful API傳遞用戶名和密碼
- 29. 如何通過角度傳遞用戶名和密碼與API?
- 30. 是否正在通過安全URL(SSL)從「中間人」攻擊中安全地傳遞用戶名和密碼?
數據(包括帶有任何查詢參數的URL)將被加密。但是我看着這樣的API設計,反正捏着我的鼻子...... – Joe