La diferencia principal entre las solicitudes GET y POST es que en las solicitudes GET una tercera persona puede ver la información que se pasa a la aplicación solo con ver la URL, algo que no hace. No suceda con las solicitudes POST. Es por esto que se considera mejor y más seguro para usar POST en lugar de GET http-method para datos confidenciales.
Sin embargo, tenga en cuenta que, desde una perspectiva de seguridad, si alguien de alguna manera logra ejecutar con éxito, por ejemplo un ataque MITM a la red, él podrá recuperar no solo GET sino también los parámetros / datos de POST, así que asegúrese de que cuando pase datos confidenciales a su aplicación, los pase encriptados, por lo que enlace combinado con HSTS en este caso, juega un papel muy importante para proteger su aplicación y sus clientes de atacantes remotos.
¿Ahora sobre qué se considera información sensible? No soy un abogado, pero creo que los datos confidenciales deben ser protegidos por cualquier acceso no autorizado. También eso depende de la aplicación. Por ejemplo, Facebook permite a los usuarios autenticados ver parte de su información (si configura sus ajustes para que lo haga), por lo que en este caso, le corresponde al usuario seleccionar qué compartir y qué mantener en privado ( por supuesto, algunas cosas). debe mantenerse privado, como contraseñas, números de seguridad social, números de tarjetas de crédito, etc. ... ).
Además, si la funcionalidad de la aplicación utiliza parte de la información del usuario y se debe pasar a la aplicación con frecuencia (, por ejemplo, el correo electrónico del usuario para la autenticación ), pero no es necesario que estén visibles, entonces es mejor para ocultarlos y, cuando sea necesario, pasarlos a su aplicación utilizando POST en lugar de GET. De esta forma, puedes prevenir ( o, al menos, desanimar ) algún tipo de ataques como los ataques de fuerza bruta. Imagine que la complejidad de tal ataque se reduce de O (n ^ 2) a O (n) cuando el atacante conoce el nombre de usuario o la contraseña y no tiene Adivinar la combinación correcta.