[问题] 把帐号密码夹在网址中的安全性?

楼主: LaPass (LaPass)   2012-09-13 10:07:18
如标题
小弟是新手,刚当码工没几年
最近看过一些厂商的对外API是这样的....
http://hisHost.com/dosomething.php?id=test01&paswd=psw&Order=.....
像这样,用GET的方式去传资料,让别人能透过网络去叫用他的一些功能....
可能是发个讯息之类的
好一点的,可能会用POST之类的
那我把它整合到自己公司系统中时,就是写个程式,去呼叫这一段这样
我一直觉得怪怪的,这样会安全吗?
印象中网址上的内容,好像很容易在半路被拦下来.....
但是,我询问过后,他们回答我说不用担心,一般人不会看到这个
我想请问
内贼不管,除了client端跟server端外
网络半路上的人,或是谁(ISP),有办法拦到这串网址吗?
作者: Antarez (Antarez)   2012-02-21 07:38:00
明码的话至少也要先hash过再传...
作者: kdjf (我抓得到什么呢?)   2012-09-13 14:39:00
如果用https就没差 http的话就半路上的人都看的到只差在有没有人去注意而已
楼主: LaPass (LaPass)   2012-09-13 15:12:00
看起来是http..... 汗
作者: cem236321 (ming)   2012-09-13 22:03:00
好天真..
作者: dirkc (3781615)   2012-09-14 10:42:00
回答是:有办法
作者: meowlike (阿猫)   2012-09-14 23:15:00
https的还是可以看到网址哦
楼主: LaPass (LaPass)   2012-09-15 00:39:00
咳..... 那HTTPS也是不能放get了嘛.....
作者: kdjf (我抓得到什么呢?)   2012-09-15 10:26:00
http://tinyurl.com/8grc5j2 https本身是安全的,不过会有别的洞
作者: meowlike (阿猫)   2012-09-15 15:46:00
楼上是对的 例如TP..它会知道你的完整网址
作者: dirkc (3781615)   2012-09-15 19:34:00
回到原PO最后的问句,如果是https+post基本上是安全的也是一般网络商务的作法,没有那种神奇的软件或骇客破解https只是想办法避开它而已,安全要做的是确保它不被避开还有确保你的certificate是对的
作者: ayumiayayaai (Kulapikachu)   2012-09-28 23:36:00
SSL好像也...(默

Links booklink

Contact Us: admin [ a t ] ucptt.com