-
Data: 2012-12-05 23:10:32
Temat: Zabezpieczenie danych w URL-u
Od: Cezary Tomczyk <c...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Powiedzmy, że jest taki oto request:
https://foo.example.com/?param1=foo&login=test&passw
ord=mojehaslo&inne=parametry
Niestety, ale ów request musi być cross-domenowy i używam do tego JSONP.
O ile samo połączenie SSL-owe to już jest lepiej, o tyle problem jest, że:
- idzie to GET-em, bo <script> z JSONP
- nie może iść POST-em, bo musiałbym wykonać cross-domenowe XHR, ale
serwer na to nie pozwala (poza sytuacją, kiedy mógłbym ustawić do tego
odpowiednio nagłówek Access-Control-Allow-Credentials w odpowiedzi z
serwera)
POST-em by było najlepiej, bo wszystkie parametry byłyby zakodowane w
nagłówku, ale na razie POST być nie może.
Co mnie martwi mimo SSL-a?
- URL zostaje zapisany w logach serwera, a także może być po drodze w proxy
- Zostaje ślad w historii, która jest w przeglądarce; a także możliwe,
że niektóre pluginy gromadzą sobie takie dane
- URL może być wysłany do Google Analytics i tym podobnych serwisów
Jakieś pomysły jak zabezpieczyć parametry w URL-u gdzie request idzie po
GET-cie mimo SSL-a?
--
Cezary Tomczyk
http://www.ctomczyk.pl/
Następne wpisy z tego wątku
- 06.12.12 12:53 HARY
- 06.12.12 20:43 Cezary Tomczyk
- 07.12.12 08:35 HARY
- 09.12.12 19:50 Cezary Tomczyk
- 09.12.12 19:56 Cezary Tomczyk
- 09.12.12 20:46 HARY
- 09.12.12 22:06 Cezary Tomczyk
- 09.12.12 22:21 Cezary Tomczyk
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2025-02-01 Śmierć mózgu a narządy do pobrania
- 2025-01-31 A niektórym to naprawdę zależy na ekologi w miastach LPG POWRACA ;-)
- 2025-01-31 Lublin => Programista Delphi <=
- 2025-01-31 Łódź => Programista NodeJS <=
- 2025-01-31 Wrocław => Senior SAP Support Consultant (SD) <=
- 2025-01-31 Warszawa => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2025-01-31 Gdańsk => iOS Developer (Swift experience) <=
- 2025-01-31 Kraków => UX Designer <=
- 2025-01-31 Warszawa => Data Engineer (Tech Leader) <=
- 2025-01-31 Gliwice => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2025-01-31 Gliwice => Business Development Manager - Network and Network Security
- 2025-01-31 Warszawa => Architekt rozwiązań (doświadczenie w obszarze Java, AWS
- 2025-01-31 Warszawa => Full Stack .Net Engineer <=
- 2025-01-31 Warszawa => Programista Full Stack (.Net Core) <=
- 2025-01-31 Gdańsk => Programista Full Stack .Net <=
![Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]](https://s3.egospodarka.pl/grafika2/reklama-internetowa/Reklama-w-internecie-telewizji-i-w-radio-w-XII-2024-264581-50x33crop.jpg "Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]")
Reklama w internecie, telewizji i w radio w XII 2024
