【发布时间】:2009-08-01 01:24:26
【问题描述】:
我注意到,当我将 FogBugz RSS 提要添加到我的 iGoogle 页面时,我必须在提要 URL 中嵌入我的用户名和密码。那么这样做有什么安全风险吗?
编辑: 是的,我的问题应该明确说明 https 以及 url 的查询字符串部分是否加密。
【问题讨论】:
【发布时间】:2009-08-01 01:24:26
【问题描述】:
如果不是 HTTPS 网址,则可以。
如果不是,这并不意味着您的帐户已被盗用,但您正在通过未加密的通道发送身份验证信息......您正在要求它。
如果是 HTTPS 就可以了。 HTTPS 网址已加密。
【讨论】:
-
那么如果 HTTPS 加密了 url 它必须只加密查询字符串部分?
-
HTTPS 在传输有关 URL 的任何内容之前建立连接 SSL。唯一暴露的信息是它连接的服务器地址。
-
@FUD:是的,协议栈类似于 IP->TCP->SSL->HTTP。所以真的,除了标准 HTTPS 端口是 443 之外,他们甚至无法确定您使用的是什么协议。
-
好的,所以它不能被拦截,但是数据可以记录在接收HTTPS服务器上的纯文本服务器日志中,而且很可能也记录在浏览器历史记录中。浏览器插件甚至客户端计算机上的其他应用程序都可以使用该 url 怎么样?
-
你无法确定。 HTTPS url是否有日志取决于服务器,您的浏览器是否记录信息取决于浏览器。
URL 中的敏感信息可能会记录在不同的位置,包括用户的浏览器、Web 服务器以及两个端点之间的任何正向或反向代理服务器。 URL 也可以显示在屏幕上,由用户添加书签或通过电子邮件发送。当遵循任何场外链接时,它们可能会通过Referer 标头披露给第三方。将会话令牌放入 URL 会增加它们被攻击者捕获的风险。
【讨论】: