FogBugz RSS 피드를 iGoogle 페이지에 추가 할 때 사용자 이름과 비밀번호를 피드 URL에 삽입해야한다는 것을 알았습니다. 이 작업과 관련된 보안 위험이 있습니까?rss 피드 URL에 사용자 이름/비밀번호를 삽입 할 때 보안 상 영향이 있습니까?
편집 : 예, 내 질문에 특별히 https가 명시되어 있고 URL의 쿼리 문자열 부분이 암호화되어 있어야합니다.
FogBugz RSS 피드를 iGoogle 페이지에 추가 할 때 사용자 이름과 비밀번호를 피드 URL에 삽입해야한다는 것을 알았습니다. 이 작업과 관련된 보안 위험이 있습니까?rss 피드 URL에 사용자 이름/비밀번호를 삽입 할 때 보안 상 영향이 있습니까?
편집 : 예, 내 질문에 특별히 https가 명시되어 있고 URL의 쿼리 문자열 부분이 암호화되어 있어야합니다.
HTTPS URL이 아닌 경우 예.
아직 계정이 해킹되지는 않았지만 암호화되지 않은 채널을 통해 인증 정보를 보내는 중이라면 ... 요청하는 중입니다.
HTTPS라면 괜찮습니다. HTTPS URL 은입니다.
URL 내의 민감한 정보는 사용자의 브라우저, 웹 서버 및 두 끝점 사이의 모든 순방향 또는 역방향 프록시 서버를 비롯하여 다양한 위치에 기록 될 수 있습니다. URL은 사용자가 화면에 표시하거나 북마크하거나 이메일로 보낼 수도 있습니다. 외부 링크를 따라 가면 Referer 헤더를 통해 제 3 자에게 공개 될 수 있습니다. URL에 세션 토큰을 배치하면 공격자가 캡처 할 위험이 높아집니다.
그래서 HTTPS가 URL을 암호화하면 쿼리 문자열 부분을 암호화해야합니까? –
HTTPS는 URL에 대해 아무것도 전송하기 전에 SSL 연결을 설정합니다. 노출되는 유일한 정보는 연결할 서버 주소입니다. – Danny
@FUD : 예, 프로토콜 스택은 IP-> TCP-> SSL-> HTTP와 같습니다. 따라서 표준 HTTPS 포트가 443이라는 사실 외에도 사용중인 프로토콜을 확실히 알 수 없습니다. –