-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!opal.futuro.pl!news.internetia.pl!newsf
eed.pionier.net.pl!newsfeed.straub-nv.de!de-l.enfer-du-nord.net!feeder2.enfer-d
u-nord.net!rt.uk.eu.org!aioe.org!.POSTED!not-for-mail
From: Cezary Tomczyk <c...@g...com>
Newsgroups: pl.comp.www
Subject: Zabezpieczenie danych w URL-u
Date: Wed, 05 Dec 2012 23:10:32 +0100
Organization: Aioe.org NNTP Server
Lines: 29
Message-ID: <k9ogop$90q$1@speranza.aioe.org>
NNTP-Posting-Host: RMrsF+s1qSnxq5Qkkqjnpw.user.speranza.aioe.org
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Complaints-To: a...@a...org
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/17.0 Thunderbird/17.0
X-Notice: Filtered by postfilter v. 0.8.2
Xref: news-archive.icm.edu.pl pl.comp.www:401584
[ ukryj nagłówki ]Powiedzmy, że jest taki oto request:
https://foo.example.com/?param1=foo&login=test&passw
ord=mojehaslo&inne=parametry
Niestety, ale ów request musi być cross-domenowy i używam do tego JSONP.
O ile samo połączenie SSL-owe to już jest lepiej, o tyle problem jest, że:
- idzie to GET-em, bo <script> z JSONP
- nie może iść POST-em, bo musiałbym wykonać cross-domenowe XHR, ale
serwer na to nie pozwala (poza sytuacją, kiedy mógłbym ustawić do tego
odpowiednio nagłówek Access-Control-Allow-Credentials w odpowiedzi z
serwera)
POST-em by było najlepiej, bo wszystkie parametry byłyby zakodowane w
nagłówku, ale na razie POST być nie może.
Co mnie martwi mimo SSL-a?
- URL zostaje zapisany w logach serwera, a także może być po drodze w proxy
- Zostaje ślad w historii, która jest w przeglądarce; a także możliwe,
że niektóre pluginy gromadzą sobie takie dane
- URL może być wysłany do Google Analytics i tym podobnych serwisów
Jakieś pomysły jak zabezpieczyć parametry w URL-u gdzie request idzie po
GET-cie mimo SSL-a?
--
Cezary Tomczyk
http://www.ctomczyk.pl/
Następne wpisy z tego wątku
- 06.12.12 12:53 HARY
- 06.12.12 20:43 Cezary Tomczyk
- 07.12.12 08:35 HARY
- 09.12.12 19:50 Cezary Tomczyk
- 09.12.12 19:56 Cezary Tomczyk
- 09.12.12 20:46 HARY
- 09.12.12 22:06 Cezary Tomczyk
- 09.12.12 22:21 Cezary Tomczyk
Najnowsze wątki z tej grupy
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
- TypeScript - jak uzyskać zmienne prywatne? Gdzie korzyści z TS?
Najnowsze wątki
- 2024-05-26 O co chodzi?
- 2024-05-26 PJ autobus-tramwaj
- 2024-05-26 Renault Trafic i lampka z czerwonym STOP
- 2024-05-26 cena pięciocyfrowa
- 2024-05-26 Re: Jak dobra KE "okrada" złą Rosję "dla Ukrainy"
- 2024-05-25 supercap
- 2024-05-25 Sulzbach => Technischer Rollouter (d/m/w) <=
- 2024-05-25 Warszawa => Senior Account Manager <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Interactive/Experience Designer <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Re: znów ten wrocław
Dom Development rusza z inwestycją Mokotów Sportowy
