2
FogBugz RSS 피드를 iGoogle 페이지에 추가 할 때 사용자 이름과 비밀번호를 피드 URL에 삽입해야한다는 것을 알았습니다. 이 작업과 관련된 보안 위험이 있습니까?rss 피드 URL에 사용자 이름/비밀번호를 삽입 할 때 보안 상 영향이 있습니까?
편집 : 예, 내 질문에 특별히 https가 명시되어 있고 URL의 쿼리 문자열 부분이 암호화되어 있어야합니다.
A
답변
2
HTTPS URL이 아닌 경우 예.
아직 계정이 해킹되지는 않았지만 암호화되지 않은 채널을 통해 인증 정보를 보내는 중이라면 ... 요청하는 중입니다.
HTTPS라면 괜찮습니다. HTTPS URL 은입니다.
2
URL 내의 민감한 정보는 사용자의 브라우저, 웹 서버 및 두 끝점 사이의 모든 순방향 또는 역방향 프록시 서버를 비롯하여 다양한 위치에 기록 될 수 있습니다. URL은 사용자가 화면에 표시하거나 북마크하거나 이메일로 보낼 수도 있습니다. 외부 링크를 따라 가면 Referer 헤더를 통해 제 3 자에게 공개 될 수 있습니다. URL에 세션 토큰을 배치하면 공격자가 캡처 할 위험이 높아집니다.
그래서 HTTPS가 URL을 암호화하면 쿼리 문자열 부분을 암호화해야합니까? –
HTTPS는 URL에 대해 아무것도 전송하기 전에 SSL 연결을 설정합니다. 노출되는 유일한 정보는 연결할 서버 주소입니다. – Danny
@FUD : 예, 프로토콜 스택은 IP-> TCP-> SSL-> HTTP와 같습니다. 따라서 표준 HTTPS 포트가 443이라는 사실 외에도 사용중인 프로토콜을 확실히 알 수 없습니다. –