作者LaPass (LaPass)
看板NetSecurity
标题[问题] 把帐号密码夹在网址中的安全性?
时间Thu Sep 13 10:07:18 2012
如标题
小弟是新手,刚当码工没几年
最近看过一些厂商的对外API是这样的....
http://hisHost.com/dosomething.php?id=test01&paswd=psw&Order=.....
像这样,用GET的方式去传资料,让别人能透过网路去叫用他的一些功能....
可能是发个讯息之类的
好一点的,可能会用POST之类的
那我把它整合到自己公司系统中时,就是写个程式,去呼叫这一段这样
我一直觉得怪怪的,这样会安全吗?
印象中网址上的内容,好像很容易在半路被拦下来.....
但是,我询问过後,他们回答我说不用担心,一般人不会看到这个
我想请问
内贼不管,除了client端跟server端外
网路半路上的人,或是谁(ISP),有办法拦到这串网址吗?
--
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.59.16.65
1F:→ kdjf:如果用https就没差 http的话就半路上的人都看的到 09/13 14:39
2F:→ kdjf:只差在有没有人去注意而已 09/13 14:39
3F:→ LaPass:看起来是http..... 汗 09/13 15:12
4F:推 cem236321:好天真.. 09/13 22:03
5F:→ dirkc:回答是:有办法 09/14 10:42
6F:推 meowlike:https的还是可以看到网址哦 09/14 23:15
7F:→ LaPass:咳..... 那HTTPS也是不能放get了嘛..... 09/15 00:39
9F:→ kdjf: 的洞 09/15 10:26
10F:推 meowlike:楼上是对的 例如TP..它会知道你的完整网址 09/15 15:46
11F:→ dirkc:回到原PO最後的问句,如果是https+post基本上是安全的 09/15 19:34
12F:→ dirkc:也是一般网路商务的作法,没有那种神奇的软体或骇客破解https 09/15 19:35
13F:→ dirkc:只是想办法避开它而已,安全要做的是确保它不被避开 09/15 19:36
14F:→ dirkc:还有确保你的certificate是对的 09/15 19:38
15F:推 ayumiayayaai:SSL好像也...(默 09/28 23:36
16F:→ Antarez:明码的话至少也要先hash过再传... 02/21 07:38