传敏感数据
分类:计算机知识

即选取了 https 也决不通过 query strings 传敏感数据

2017/10/16 · 基本功本事 · HTTPS

本文由 伯乐在线 - xiaoheike 翻译,艾凌风 校稿。未经许可,防止转发!
罗马尼亚(Romania)语出处:HttpWatch。款待参与翻译组。

劳动器端的 log 将公开记下完整 url;浏览器上的寻访历史也会领悟记下完整 url;Referrer headers 里也忠实记下一体化 url,然后在别人家的 GoogleAnalytics 上出示。

我们通常听到的二个广阔难点是:“URL 中的参数是还是不是足以安枕无忧地传递到安全网站?”这么些问题平日出现在客商看了 HttpWatch 捕获的 HTTPS 恳求后,想领悟还也会有何人能够见见那些数量。

 

比方说,假设在一个询问中,使用如下安全的 URL 传递密码字符串:

HttpWatch 能够突显安全诉求的内容,因为它与浏览器集成,因而它亦可在 HTTPS 请求的 SSL 连接对数据加密此前查看数据。图片 1

一旦你选用网络嗅探器查看,比如 Network Monitor,对于同三个伸手,你只好够查阅加密然后的多寡。在数码包追踪中绝非可以预知的网站,标题或内容:

图片 2

你能够信赖 HTTPS 央求是高枕而卧的,只要:

  • 未忽视任何SSL证书警报
  • Web 服务器用于运维 SSL 连接的私钥在 Web 服务器自个儿之外不可用。

于是,在网络范围,URL 参数是安枕而卧的,不过还会有一点其余依据 URL 泄漏数据的章程:

  1. URL 存款和储蓄在 Web 服务器日志中–平时各种伏乞的完好 URL 都被贮存在在服务器日志中。那意味 URL 中的任何敏感数据(比如密码)会以公开格局保留在服务器上。以下是应用查询字符串通过 HTTPS 发送密码时存款和储蓄在 httpwatch.com 服务器日志中的条约: **二〇〇八-02-20 10:18:27 W3SVC4326 WWW 208.101.31.210 GET /Default.htm password=mypassword 443 … 日常以为就算是在服务器上,累积明文密码平昔都不是好主张 2.URLs are stored in the browser history – browsers save URL parameters in their history even if the secure pages themselves are not cached. Here’s the IE history displaying the URL parameter:
  2. URL 存款和储蓄在浏览器历史记录中–就算安全网页本身未缓存,浏览器也会将 URL 参数保存在其历史记录中。以下是 IE 的历史记录,显示了 URL 的呼吁参数:图片 3

若是顾客创设书签,查询字符串参数也将被存放。

  1. URLReferrer 诉求头中被传送–假设三个平安网页使用财富,比如 javascript,图片也许解析服务,URL 将通过 Referrer 乞求头传递到每一个内置对象。有的时候,查询字符串参数可能被传送并存放在第三方站点。在 HttpWatch 中,你能够看见我们的密码字符串正被发送到 Google Analytics图片 4

结论

缓慢解决那几个难题亟待两步:

  • 独有在相对供给的情景下传递敏感数据。一旦客商被注脚,最佳使用具备有限生命周期的会话 ID 来标记它们。

采取会话层级的 cookies 传递新闻的独到之处是:

  • 它们不会蕴藏在浏览器历史记录中或磁盘上
  • 它们平日不存款和储蓄在服务器日志中
  • 它们不会传送到嵌入式财富,比方图片或 JavaScript
  • 它们仅适用于央求它们的域和路径

以下是大家的在线集团中,用于识别顾客的 ASP.NET 会话 cookie 示例:

图片 5

请注意,cookie 被限制在域 store.httpwatch.com,何况在浏览器会话甘休时过期(即不会积存到磁盘)。

您当然可以透过 HTTPS 传递查询字符串,可是不用在恐怕出现安全主题材料的境况下行使。举例,你能够安全的使用它们显示部分数字还是项目,像 accountview 或者 printpage,可是实际不是使用它们传递密码,信用卡号码只怕此外不应有领会的音信。

1 赞 收藏 评论

关于作者:xiaoheike

图片 6

简单介绍还没赶趟写 :) 个人主页 · 笔者的篇章 · 10 ·      

图片 7

本文由六和开奖现场发布于计算机知识,转载请注明出处:传敏感数据

上一篇:没有了 下一篇:没有了
猜你喜欢
热门排行
精彩图文