【发布时间】:2014-12-13 20:06:21
【问题描述】:
我有一个移动应用程序,所有请求都通过 HTTPS 进行。我需要知道我是否将请求中的输入参数作为查询字符串传递并发布参数,我的请求参数是否有机会被黑客跟踪?或者它会采用加密格式,不会有任何问题??
【问题讨论】:
标签: security https querystringparameter
【发布时间】:2014-12-13 20:06:21
【问题描述】:
使用 HTTPS 时,querystring 和 post 参数都是安全的,因为底层连接是安全的。
无论如何,不鼓励对包含敏感数据的查询字符串参数使用 GET (more here)。
【讨论】:
-
但是在 android 中我们也有自定义 ROM,如果有人根设备并安装了一个安全性较弱的自定义 ROM,那么在这种情况下,黑客有可能从收到的请求或响应中追踪敏感信息从服务器
-
嗯...当然,ROM 可能包含恶意二进制文件,但同样适用于您每天使用的任何软件,尤其是闭源或预编译的二进制文件.我们只能说,据我们今天所知,当连接被加密时,通信双方可以相互信任以及他们正在发送/接收的内容。但是您根本无法抵御精心制作的二进制文件、有缺陷的实现、有缺陷的协议设计(请参阅 SSLv3)甚至是人类的愚蠢行为。 :-)
-
我使用 Fiddler 来跟踪 https 请求,不幸的是,我能够跟踪我在 URL 获取或发布参数中提供的输入。在这里我唯一注意到的是,如果在移动应用程序或桌面浏览器中,如果有人接受不受信任的(自签名证书)SSL 连接,那么使用 Fiddler 可以更轻松地获取从移动设备或浏览器传递的所有输入。截至目前,Fiddler 拥有不受信任的证书,但 如果中间人在 Fiddler 内部拥有受信任的 SSL 证书怎么办?
双方都是安全的,至少在当前的知识标准下是这样。如果您使用 Get,您可能会遇到问题。
【讨论】: