Wenn ich einen Benutzer über einen sicheren HTTPS AJAX POST anmelde, bedeutet dies, dass der Hauptteil des HTTP POST verschlüsselt und daher sicher ist?Können HTTPS POST-Daten von Dritten gelesen werden?
Antwort
Es hängt davon ab, was Sie schützen wollen (welche Bedrohungen sollen gemildert werden).
HTTPS ist ein sicherer Kanal zwischen dem Client (Browser in diesem Fall) und dem Server. Dies bedeutet, dass jeder mit ausreichenden Berechtigungen auf dem Client und auch auf dem Server die Daten lesen kann, da dies die Enden der imaginären Pipe sind, die HTTPS ist. Praktisch jeder Admin auf dem Client oder auf dem Server kann die übertragenen Daten lesen, aber ein Man-in-the-Middle-Angreifer (jemand im Netzwerk dazwischen) kann nicht, HTTPS ist dagegen sicher (und nur das, obwohl es nicht nur Vertraulichkeit ist dass HTTPS bietet, aber das ist ein separates Thema).
Die wichtigere Frage ist, wie werden Sie den Benutzernamen und das Passwort in den Körper einer Ajax-Anfrage setzen? Das würde bedeuten, dass Sie diesen Benutzernamen und Ihr Passwort irgendwo auf dem Client speichern müssen, wo es höchstwahrscheinlich nicht sehr sicher ist. Zum Beispiel kann jeder einzelne erfolgreiche XSS-Angriff solche Anmeldeinformationen einem Angreifer zeigen. Das wäre wahrscheinlich in diesem Fall mein Hauptanliegen.
Ich habe meine Frage bearbeitet, aber deine Antwort macht immer noch Sinn für das, was ich gefragt habe. Ich habe kürzlich ein paar Dinge über das Thema gelernt und es richtig formuliert. – Jacob
- 1. Wie können Spring Boot-Metrikwerte gelesen werden?
- 2. nodejs: Dateiinhalte können nicht gelesen werden
- 3. AWS-Anmeldeinformationen können nicht gelesen werden
- 4. UWP BTLE: Geräteanzeigen können nicht gelesen werden
- 5. Können PMML-Modelle in R gelesen werden?
- 6. Dateien können nicht von Azure gelesen werden. Dateifreigabe
- 7. Kreuz Domain Antrag eines Dritten API (https)
- 8. Können die Parameter FromUri von einem Attribut gelesen werden?
- 9. Können lokale JavaScript-Variablen von der Benutzerkonsole gelesen werden?
- 10. Wie können Eingaben von mehreren Clients gleichzeitig gelesen werden?
- 11. Können CFHEADER-Werte von anderem Code gelesen werden?
- 12. Können Daten von der Transportverbindung nicht gelesen werden?
- 13. Daten können nicht von der Transportverbindung gelesen werden - TFS-Problem
- 14. Git-Umgebungsvariablen können nicht gelesen werden Jenkins mit Groovy Jenkinsfile
- 15. Welche Dateiarten können mit der Dateiklasse C# gelesen werden?
- 16. LabVIEW und Keithley 2635A - Daten können nicht gelesen werden
- 17. Sammlungsdaten können nicht in mongo/node gelesen werden
- 18. Können IO-Dienstprogramme geschrieben und gelesen werden für physische Adressen
- 19. Validierungsnachrichten aus der Datei messages.properties können nicht gelesen werden
- 20. Wie können Klassenattribute in der angegebenen Reihenfolge gelesen werden?
- 21. Warum ein Objekt zuweisen Attributwerte können nicht nach gelesen werden?
- 22. Wie können in der Tensorflow-Prüfpunktdatei gespeicherte Gewichtungen gelesen werden?
- 23. WCF MaxReceivedMessageSize nicht von Config gelesen werden
- 24. TypeError: Die Eigenschaft 'length' von undefined kann nicht gelesen werden. Meine Daten können nicht geladen werden
- 25. OleDbDataReader Wie Nummerntypen gelesen werden?
- 26. Get Postdaten, Zend Framework
- 27. PHP SQL UPDATE nur wenn Postdaten eingegeben werden mit COALESCE()
- 28. Wie sortierte Sätze von Partitionen gelesen werden?
- 29. Eigenschaftswert von 'null' kann nicht gelesen werden
- 30. Senden von Integer von Verarbeitung an Arduino, Bytes können nicht gelesen werden
Ja, wenn der Körper mit den Informationen für den Hacker sichtbar ist, dann kann er ja die Benutzerinformationen stehlen –
@ViswanathPolaki Ihre Antwort ist irgendwie redundant ... Ich frage, ob die https (Secure SSL) schützen wird HTTP-Anfragetext – Jacob
https ist nur ein Protokoll für die sichere Übertragung Ihrer Daten vom Benutzer Computer zu Server (mit Verschlüsselung). Wenn Sie irgendwelche Informationen im Browser anzeigen, dann ist es offen für alle und jeder kann ein Skript schreiben, um die Informationen zu erhalten. –