¿Se guarda para enviar datos confidenciales a través de parámetros de URL dentro de un servicio con SSL? [duplicar]

0

Estaba pensando en ese tema, y estoy un poco confundido. Estoy usando SSL . Hay una historia:

  1. El usuario haga clic en el botón "Dame X"
  2. El servicio 1 lo recibe, obtiene el nombre de usuario de la sesión y envía GET al servicio 2 pasando el nombre de usuario como parámetro de URL
  3. El servicio 2 lo recibe, envía la respuesta con algunos datos.
  4. El servicio 1 lo recibe y envía esos datos al usuario.

El servicio 1 y 2 están en esta misma máquina, usa el mismo contenedor web (Tomcat, por ejemplo).
Descubrí que cuando enviamos una solicitud directamente del usuario (él puede ver la URL de destino) no es seguro, pero no encontré nada sobre el "reenvío". ¿Es seguro?

Y sé que hay muchas mejores soluciones, pero esta pregunta es puramente hipotética;)

    
pregunta B_Osipiuk 21.11.2018 - 20:42
fuente

1 respuesta

0

Cuando está conectado con HTTPS a un sitio web, solo el dominio será visible para los demás cuando digamos que usan Wireshark, no los parámetros de la URL. Sin embargo, hay más riesgos involucrados.

No hay una diferencia significativa en las solicitudes de POST y GET cuando se trata de alterar los valores, por ejemplo, cualquier usuario puede editar fácilmente una solicitud de POST tan fácilmente como modificar la URL. También puedes ver los paquetes POST que se envían a través de la red cuando no usas HTTPS para conectarte.

Sin embargo, las solicitudes GET se pueden almacenar en caché y permanecerán en el historial del navegador. También pueden estar marcados y estos son los principales riesgos involucrados. La mejor práctica es no usar las solicitudes GET para datos confidenciales.

    
respondido por el Kevin Voorn 21.11.2018 - 21:18
fuente

Lea otras preguntas en las etiquetas