[問題] 把帳號密碼夾在網址中的安全性？

作者LaPass (LaPass)

看板NetSecurity

標題[問題] 把帳號密碼夾在網址中的安全性？

時間Thu Sep 13 10:07:18 2012

如標題小弟是新手，剛當碼工沒幾年最近看過一些廠商的對外API是這樣的.... http://hisHost.com/dosomething.php?id=test01&paswd=psw&Order=..... 像這樣，用GET的方式去傳資料，讓別人能透過網路去叫用他的一些功能.... 可能是發個訊息之類的好一點的，可能會用POST之類的那我把它整合到自己公司系統中時，就是寫個程式，去呼叫這一段這樣我一直覺得怪怪的，這樣會安全嗎？印象中網址上的內容，好像很容易在半路被攔下來..... 但是，我詢問過後，他們回答我說不用擔心，一般人不會看到這個我想請問內賊不管，除了client端跟server端外網路半路上的人，或是誰(ISP)，有辦法攔到這串網址嗎？ -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.59.16.65

→ kdjf:如果用https就沒差 http的話就半路上的人都看的到 09/13 14:39

→ kdjf:只差在有沒有人去注意而已 09/13 14:39

→ LaPass:看起來是http..... 汗 09/13 15:12

推 cem236321:好天真.. 09/13 22:03

→ dirkc:回答是：有辦法 09/14 10:42

推 meowlike:https的還是可以看到網址哦 09/14 23:15

→ LaPass:咳..... 那HTTPS也是不能放get了嘛..... 09/15 00:39

→ kdjf: http://tinyurl.com/8grc5j2 https本身是安全的,不過會有別 09/15 10:26

→ kdjf: 的洞 09/15 10:26

推 meowlike:樓上是對的例如TP..它會知道你的完整網址 09/15 15:46

→ dirkc:回到原PO最後的問句，如果是https+post基本上是安全的 09/15 19:34

→ dirkc:也是一般網路商務的作法,沒有那種神奇的軟體或駭客破解https 09/15 19:35

→ dirkc:只是想辦法避開它而已，安全要做的是確保它不被避開 09/15 19:36

→ dirkc:還有確保你的certificate是對的 09/15 19:38

推 ayumiayayaai:SSL好像也...(默 09/28 23:36

→ Antarez:明碼的話至少也要先hash過再傳... 02/21 07:38