Могут ли данные, включенные в URL-адрес, считаться безопасными, если соединение выполняется через HTTPS? Например, если пользователь щелкает ссылку в электронном письме, указывающую на https://mysite.com?mysecretstring=1234 Может ли злоумышленник получить "mysecretstring" из URL-адреса?
Весь HTTP-запрос (и ответ) зашифрован, включая URL-адрес.
Но да, злоумышленник может получить полный URL-адрес с помощью заголовка Referer. Если есть какой-либо внешний файл (Javscript, CSS и т. Д.), Который не работает по протоколу HTTPS, полный URL-адрес может быть обнаружен в заголовке Referer. То же самое, если пользователь щелкает ссылку на странице, которая ведет на страницу HTTP (без SSL).
Кроме того, запросы DNS не шифруются, поэтому злоумышленник может знать, что пользователь переходит на mysite.com.
Нет, они могут видеть соединение, т.е. mysite.com, но не? Mysecretstring = 1234 https - это сервер к серверу
Им потребуется ключ шифрования. Теоретически это невозможно, но возможна любая хорошая атака. В этом вся цель SSL - зашифровать все данные, отправляемые на сервер и с сервера, чтобы предотвратить их прослушивание.
Держите свои блоги в безопасности или даже не пишите их. Если вы получите удаленный эксплойт, в котором можно читать журналы, в журналах будут видны любые данные URL.
Только если они могут обнюхать https-аутентификацию с помощью какой-то спуфинга