HTTPS, đường dẫn URL và chuỗi truy vấn

Question

Đây là bài đăng theo dõi của previous question about BASIC auth over HTTPS

Đường dẫn đến tài nguyên và chuỗi truy vấn được chuyển an toàn đến máy chủ nếu tôi sử dụng HTTPS?

tức
URI:http://server/path/to/a/resource?with=a&query=string
Server: máy chủ
đường dẫn:/path/to/A/tài nguyên
chuỗi truy vấn: với = a & query = chuỗi

Answer 1

Đây là lời giải thích thực sự tốt về điều này: http://answers.google.com/answers/threadview/id/758002.html#answer

Tóm tắt: chỉ máy chủ và cổng sẽ hiển thị không được mã hóa.

Tóm lại, có. Nhưng bạn không nên lưu trữ dữ liệu nhạy cảm trong URL vì nó có thể hiển thị trong lịch sử trình duyệt và nhật ký máy chủ. Và bất cứ ai nhìn qua vai của bạn cũng thấy nó.

Answer 2

HTTPS chỉ đơn giản là dò tìm HTTP qua kết nối SSL. Điều này có nghĩa là yêu cầu, phản hồi, tiêu đề và nội dung đều nằm trong đường hầm SSL và do đó phải được mã hóa.

Answer 3

Có - toàn bộ phiên được bảo mật và được mã hóa sao cho mọi thứ bạn gửi, kể cả chuỗi truy vấn không thể đọc được.

Bạn có thể chứng minh điều này cho chính mình, nếu bạn muốn, bằng cách sử dụng một cái gì đó như Fiddler để xem lưu lượng truy cập http/https bạn tạo khi bạn truy cập url bảo mật. Bất cứ điều gì bạn gửi qua HTTPS sẽ không hiển thị chuỗi truy vấn, như thể hiện ở đây:

URL thực tế tôi đã đến thăm nhìn như thế này:

https://www.halifax-online.co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=

Theo khác câu trả lời, bạn không nên chuyển bất kỳ thông tin nhạy cảm nào trong chuỗi truy vấn vì điều này có thể được lưu trữ trong tệp nhật ký máy chủ web của bạn, vì vậy nếu bạn kết hợp tên người dùng/mật khẩu, bất kỳ ai có thể ccess nhật ký của bạn sẽ có thể nắm bắt thông tin đó. Điều này có thể cho phép ai đó đăng nhập vào trang web/ứng dụng của bạn như thể họ là người khác ngay cả khi bạn đang thực hiện các nỗ lực như lưu trữ mật khẩu trong cơ sở dữ liệu của bạn dưới dạng băm muối, chứ không phải là bản rõ.