Một đồng nghiệp và tôi đã có một cuộc tranh luận nóng bỏng ngày hôm qua liệu có an toàn khi gửi thông tin đăng nhập thông qua các tham số URL như một phương tiện xác thực hay không. Ông đã chỉ ra rằng HTTPS mã hóa tất cả các ký tự không phải tên máy chủ/cổng trong một URL trước khi gửi yêu cầu đến phía máy chủ.Tên người dùng và mật khẩu có thể được gửi an toàn qua HTTPS thông qua thông số URL không?
Tuy nhiên, tôi vẫn nghĩ có những trường hợp cạnh ở đây, nơi có thể lấy cắp các thông tin đăng nhập này và tin rằng chúng sẽ được gửi qua một POST HTTPS. Đây có phải là phương tiện an toàn để gửi dữ liệu đăng nhập/mã thông báo không?
Ý của bạn là SSL thay vì SSH? – Greg
SSH không có ý nghĩa. SSL có thể sử dụng trong các ngữ cảnh khác với HTTPS, nhưng điều này là đủ gần. – MSalters
Có, ý tôi là HTTPS chứ không phải SSL. Tôi đã sửa tiêu đề. –