Autenticación móvil con contraseña como parámetro en obtener solicitud sobre ssl

4

Estoy creando una nueva capa de servicios para una aplicación móvil existente. La aplicación móvil se autentica con la capa de servicios existente al proporcionar el nombre de usuario y la contraseña como parámetros de URL en una solicitud de obtención al punto final de autenticación. Todo esto sucede sobre ssl.

Inicialmente pensé que esto era inseguro, pero esta publicación parece sugerir que no es insegura en la capa de transporte SSL con GET y POST . La única preocupación es cómo la solicitud es registrada por el servidor. Dado que estoy escribiendo el lado del servidor y puedo controlar el registro, es algo de lo que debería preocuparme. ¿Debo insistir en que el equipo de la aplicación cambie al cliente para que envíe una solicitud de publicación para proteger mejor la contraseña, o es innecesario?

    
pregunta AndrewSwerlick 24.04.2015 - 15:44
fuente

1 respuesta

7

Sí, insista en cambiar la solicitud a POST.

El problema principal aquí es el hecho de que el nombre de usuario y la contraseña se guardarán en los registros. Como práctica recomendada, ningún registro debe contener información confidencial, incluso si están muy protegidos.

Esto se especifica claramente en rfc2616 :

  

15.1.3 Codificación de información sensible en URI's

     

Debido a que la fuente de un enlace puede ser información privada o podría   revelar una fuente de información por lo demás privada, es fuertemente   recomienda que el usuario pueda seleccionar si el Referer o no   se envía el campo. Por ejemplo, un cliente de navegador podría tener un interruptor   cambiar para navegar abiertamente / anónimamente, lo que respectivamente   habilitar / deshabilitar el envío de información de referencia y desde.

     

Los clientes NO DEBEN incluir un campo de encabezado de Referer en un (no seguro)   Solicitud HTTP si la página de referencia fue transferida con un seguro   protocolo.

     

Los autores de servicios que utilizan el protocolo HTTP NO DEBEN usar GET   formularios basados en la presentación de datos confidenciales, ya que esto   hacer que estos datos se codifiquen en el URI de solicitud. Muchos existentes   los servidores, proxies y agentes de usuario registrarán el URI de solicitud en algunos   Lugar donde pueda ser visible para terceros. Los servidores pueden usar   Envío de formularios basado en POST

    
respondido por el Sacx 24.04.2015 - 16:20
fuente

Lea otras preguntas en las etiquetas