web-dev-qa-db-ja.com

クエリ文字列パラメーターはHTTPS(HTTP + SSL)で安全ですか?

クエリ文字列パラメーターは、リクエストとともに送信されるときにHTTPSで暗号化されますか?

327
Deep

はい。クエリ文字列もSSLで暗号化されます。それにもかかわらず、 この記事 が示すように、URLに機密情報を入れるのは得策ではありません。例えば:

URLはWebサーバーログに保存されます-通常、各リクエストのURL全体がサーバーログに保存されます。これは、URL内の機密データ(パスワードなど)がサーバー上にクリアテキストで保存されていることを意味します

365
Joe Ratzer

sSL/TLSはトランスポート層で動作するため、すべての暗号化はアプリケーション層のHTTPの下で行われます。

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

それは「はい!」と言う長い道のりです。

118

HTTPSを使用すると、クエリ文字列、URL全体、さらにはリクエストのタイプ(GET、POSTなど)を含む送信全体が暗号化されます。

47
Marcelo Cantos

私はここで与えられたアドバイスに同意しません-受け入れられた答えの参照でさえ結論づけます:

もちろん、HTTPSでクエリ文字列パラメーターを使用できますが、セキュリティ上の問題を引き起こす可能性のあるものには使用しないでください。たとえば、部品番号や「accountview」や「printpage」などの表示の種類を識別するために安全に使用できますが、パスワード、クレジットカード番号、または一般に公開すべきでない情報には使用しないでください。

だから、彼らは本当に安全ではありません...!

4
Steve Winter