모든 요청이 HTTPS를 통해 이루어지는 모바일 애플리케이션이 있습니다. 요청의 입력 매개 변수를 쿼리 문자열 및 게시 매개 변수로 전달하면 해커가 요청한 매개 변수를 추적 할 수있는 가능성이 있습니까? 또는 그것은 암호화 된 형식으로되어있을 것이고 어떤 문제도 없을 것입니다 ??https URL 쿼리 문자열 및 게시 매개 변수에 전달 된 요청 매개 변수를 추적 할 수 있습니까?
HTTPS를 사용할 때 기본 연결이 안전하기 때문에 쿼리 문자열과 게시 매개 변수가 모두 안전합니다.
어쨌든 중요한 데이터가 포함 된 쿼리 문자열 매개 변수와 함께 GET을 사용하는 것은 권장되지 않습니다 (more here).
그러나 안드로이드에는 사용자 지정 ROM도 있습니다. if 누군가가 장치를 뿌리 쳤고 보안이 약한 사용자 정의 ROM을 설치 한 경우 해커가 서버로부터받은 요청이나 응답으로부터 중요한 정보를 추적 할 수 있습니다. –
물론 ... ROM에 악의적 인 바이너리이지만, 매일 닫히는 소스 또는 미리 컴파일 된 바이너리와 같이 매일 사용하는 모든 소프트웨어에도 동일하게 적용됩니다. 우리는 현재까지 알고있는 한, 연결이 암호화 될 때 통신의 양측이 서로 및 그들이 송수신하는 내용을 신뢰할 수 있다고 말할 수 있습니다. 그러나 제작 된 바이너리, 잘못된 구현, 잘못된 프로토콜 디자인 (SSLv3 참조) 또는 인간의 어리 석음을 방어 할 수는 없습니다. :-) –
나는 ** Fiddler **를 사용하여 https 요청을 추적했으며 불행하게도 URL get 또는 post 매개 변수에서 제공 한 입력을 추적 할 수있었습니다. 모바일 응용 프로그램 또는 데스크톱 브라우저에서 누군가가 신뢰할 수없는 (자체 서명 된) SSL 연결을 허용 한 다음 피들러를 사용하면 모바일 장치 또는 브라우저에서 전달 된 모든 입력을 얻는 것이 더 쉽습니다. 현재 Fiddler는 신뢰할 수없는 인증서를 가지고 있지만 ** 중간에있는 사람이 Fiddler 내부에 신뢰할 수있는 SSL 인증서를 가지고 있다면 어떻게 될까요? ** –
양 측면은 적어도 현재 표준 지식에 따라 안전합니다. Get을 사용하면 문제가 발생할 수 있습니다.
[HTTPS 쿼리 문자열이 안전합니까?] (http://stackoverflow.com/questions/323200/is-an-https-query-string-secure) –