¿Los parámetros de querystring son seguros en HTTPS (HTTP + SSL)?

¿Los parámetros de querystring se cifran en HTTPS cuando se envían con una solicitud?

Author: jnm2, 2010-04-13
Source

4 answers

Sí. El querystring también está encriptado con SSL. Sin embargo, como muestra este artículo, no es una buena idea poner información confidencial en la URL. Por ejemplo:

Las URL se almacenan en los registros del servidor web - normalmente la URL completa de cada la solicitud se almacena en un registro del servidor. Esto significa que cualquier dato sensible en la URL (por ejemplo, una contraseña) está siendo guardado en texto claro en el servidor

 316
Author: Joe Ratzer,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2017-07-21 08:11:10

Recuerde, SSL/TLS opera en la Capa de transporte, por lo que todo el goo crypto ocurre bajo la capa de aplicación HTTP.

Http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

Esa es la manera larga de decir: "¡Sí!"

 106
Author: Michael Howard-MSFT,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2010-04-14 01:17:27

La transmisión completa, incluyendo la cadena de consulta, la URL completa e incluso el tipo de solicitud (GET, POST, etc.).) está cifrado cuando se utiliza HTTPS.

 39
Author: Marcelo Cantos,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2010-04-13 11:54:57

No estoy de acuerdo con el consejo dado aquí-incluso la referencia para la respuesta aceptada concluye:

Por supuesto, puede usar parámetros de cadena de consulta con HTTPS, pero no los use para nada eso podría presentar un problema de seguridad. Por ejemplo, podría usarlos de forma segura para identificar números de parte o tipos de pantalla como 'accountview' o 'printpage', pero no los use para contraseñas, números de tarjetas de crédito u otras piezas de información que no deben ser públicamente disponible.

Así que, no, no son realmente seguros...!

 3
Author: Steve Winter,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2014-04-07 07:56:31