Estoy estudiando una propuesta y necesito encontrar razones para que no realicemos la solución sugerida.
Aquí está el problema:
www. domain-a .com es un sitio web seguro que se ocupa de las funciones relacionadas con el cliente.
www. domain-b .com es un sitio web asociado, que se ocupa de un nuevo conjunto de funciones relacionadas con el cliente en las que domain-a .com no participa, otros que al dirigir al usuario registrado a domain-b .com cuando el usuario realiza un viaje específico.
Todo está bien hasta ahora, pero luego presentamos el hecho de que domain-a necesita pasar información cifrada (confidencial) a domain-b a través de la cadena de consulta, y esto naturalmente sería una operación HTTPS GET porque estamos abriendo una nueva ventana.
Mi pregunta realmente rodea el proceso de cifrado de la información confidencial de la cadena de consulta de la mejor manera posible entre domain-a y domain-b de una manera que reduzca o elimine la posibilidad de repetición, MITM y otros ataques comunes.
¿Existen patrones comunes para tratar este tipo de escenario, desde el punto de vista de la criptografía? Obviamente, nos gustaría asegurarnos de que las URL accedidas sean esencialmente "de un solo uso", es decir, un cliente que intentó copiar / marcar esta URL volvería a una sesión muerta / punto final si volviera a acceder a ella.
También entiendo que las solicitudes HTTP GET se pueden almacenar en caché en la infraestructura IIS / Web, y tal vez no sea la mejor manera de resolver esto, pero es el escenario con el que tengo que lidiar actualmente. , cualquier entrada será recibida con gratitud!