Dado que los parámetros GET se pasan en la url, ¿cómo pueden estar seguros de alguien con acceso a los registros de la red? Él podría ver a qué URL se accede, incluso si no puede ver la solicitud y la respuesta.
Pregunto porque una api requiere que pase los datos del usuario a través de https (datos de su usuario). El nombre de usuario y la contraseña se pasan como http AUTH: user: [email protected]/api/messages
HTTPS usa Seguridad de la capa de transporte (TLS). La capa de transporte es la capa 4, por lo que todo lo que está por encima de esta capa está cifrado, lo que significa que todo el HTTP está cifrado.
De forma predeterminada, en la mayoría de los servidores HTTP, todos los parámetros GET se registran en el registro de acceso. El registro de texto plano de tokens de autenticación es una vulnerabilidad. El encabezado Authentication HTTP no se registra de forma predeterminada.