3
이상 올리기 http://getpocket.com/api/docs/이 API에 대해 HTTP 문자열의 사용자 이름/비밀번호를 안전하게 전달합니까?
HTTP 문자열을 통해 암호를 전달하는 것이 안전합니까? 내 이해가 HTTPS의 경우에도 안전하지 않습니다. 옳은?
A
답변
2
API 설명서에 HTTPS를 전달한다고 나와 있습니다. 사실 HTTP 헤더의 GET 또는 POST 여부에 관계없이 모든 정보는 SSL 전송의 일부이므로 URL 매개 변수도 암호화되므로 GET 매개 변수가 암호화됩니다. 보장 할 수없는 것은 고객이 보유하게 될 것입니다. 또는 서버가 호스트 이름에 대한 DNS 조회를 수행했을 때와 같은 일부 정보가 노출 된 다른 프로세스가있는 경우 또 다른 예는 브라우저가 있고 https URL을 포함하여 입력 한 모든 기록을 유지하면 보안이 손상 될 수 있습니다. 다음은
는 HTTP 헤더하는 TCP 연결을 시작하고 다음과 같이 뭔가를 보내드립니다 클라이언트 :GET /tutorials/other/top-20-mysql-best-practices/ HTTP/1.1
Host: net.tutsplus.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120
Pragma: no-cache
Cache-Control: no-cache
SSL은 모든 정보가 다시 전송됩니다 아무것도와 함께 암호화되어 달라집니다. 나는이 API를 사용하는 것이 안전하다고 말하고 싶습니다. POST와 GET의 유일한 차이점은 POST에서 매개 변수가 본문에있는 반면 GET에서는 매개 변수가 헤더에있는 것입니다. 두 경우 모두 모든 민감한 정보가 암호화됩니다.
1
나는 안전하지 않은 것으로 원칙적으로 동의합니다. URL은 로그와 같이 일반 텍스트 (HTTPS 이상)의 모든 종류의 재미있는 장소에서 끝납니다. 어느 곳에서나 일반 텍스트로 사용하는 것을 피하는 것이 가장 좋습니다.
대체 방법이 있는지 API 작성자와상의해야합니다. 예를 들어 POST와 GET을 모두 지원하는 메소드가있는 것처럼 보입니다.이 경우 HTTPS 연결을 통해 상대적으로 안전한 비밀번호 보안 정보를 POST 할 수 있습니다.
관련 문제
- 1. 안정 API : API에 안전하게 액세스하는 방법은 무엇입니까?
- 2. 임시 참조 문자열을 C++에서 안전하게 전달합니까?
- 3. HTTP 요청이 MVC4의 Asp.net 웹 API에 대해 400이 아닙니다.
- 4. Apache에서 Mongrel/Rails로 HTTP 사용자 이름을 어떻게 전달합니까?
- 5. 비밀번호를 안전하게 저장하고 http 확장 프로그램에서 http auth를 사용하는 방법
- 6. Windows Phone (아마 Azure?)을 사용하여 타사 API에 안전하게 액세스
- 7. boost :: bind를 사용하여 예상보다 많은 인수를 안전하게 전달합니까?
- 8. jquery 모바일 앱에 사용자 비밀번호를 안전하게 저장합니다.
- 9. iphone HTTP API에 대한 사용자 지정 인증서 추가
- 10. 이 Coldfusion URL 매개 변수는 어떻게 전달합니까?
- 11. 이 펄 코드처럼 stdin에 null을 어떻게 전달합니까?
- 12. Magento Widgets API에 대해 혼란스러워하는 점은 무엇입니까?
- 13. 로그인 API에 사용할 http 동사를 수정하십시오.
- 14. 이 Regex 문자열의 의미는 무엇입니까?
- 15. 이 Facebook API에 대한 엔드 포인트는 무엇입니까?
- 16. 문자열의 사용자 정의 분할
- 17. HTTP 이
- 18. 서버를 서버에 안전하게 고정 http 게시
- 19. 사용자 모드에서 Windows Native API에 액세스
- 20. API에 대해 WebBrowser 객체를 사용하고 있습니까?
- 21. Chrome 확장 프로그램 + Google API에 대해 혼동스러워합니다.
- 22. uialertview에 이미지 추가 및 개인 API에 대해
- 23. Javascript에서 API에 HTTP 호출을 사용하려면 어떻게해야합니까?
- 24. HTTP 오류가없는 PHP로 Soundcloud API에 연결하는 방법
- 25. 이 게시물 요청을 레일스에 안전하게 보관하려면 어떻게해야합니까?
- 26. 사용자 제휴 코드를 안전하게 저장하십시오.
- 27. 사용자 지정 HTTP 권한 헤더
- 28. 하우투 : 사용자 이름과 패스워드를 webview에 안전하게 전달하십시오.
- 29. 이 두 문자열의 차이점은 무엇입니까?
- 30. 이 Google API에 대한 사양이 있습니까?
쿼리 매개 변수가있는 URL을 비롯한 데이터가 암호화됩니다. 하지만 API 디자인을보고 어쨌든 코를 꼬집어 보면 ... – Joe