J'ai configuré mon serveur Web pour utiliser SSL (j'utilise WAMP pour mon scénario de transfert avant de le déplacer sur des serveurs publics). Le but du site à portée de main a réussi et je peux utiliser le site à partir d'ordinateurs distants en utilisant le protocole HTTPS.
Une préoccupation qui est venue avec un de mes utilisateurs (testeurs) concernait les données POST. Dans son scénario de test, il est sur place chez l'un de nos clients potentiels, accédant au site derrière leur pare-feu d'entreprise TRÈS pointilleux (nous avons déjà déterminé comment ce site s'applique à leur AUP, et nous sommes propres). Il gère le site dans FireFox en utilisant Firebug pour surveiller les données POST et GET. La question est ici:
Dans sa fenêtre Firebug, le POST et la réponse de XMLHTTPRequest reviennent en texte brut. Est-ce parce que c'est lui qui a initié la connexion sécurisée? Les données POST / Response apparaîtront-elles aux administrateurs réseau ou aux journaux?
Veuillez noter que l'intention ici n'est pas de tromper les administrateurs ou de contourner les politiques; il s'agit d'une application destinée aux personnes sur site à divers endroits qui ont besoin de transmettre des données sensibles. L'utilisation sera coordonnée avec chaque infrastructure réseau que nous rencontrons.
la source
Réponses:
Oui, les données POST doivent être cryptées. Tout dans la demande HTTP doit être chiffré dans une conversation SSL. Firebug obtient ses informations après que les données SSL ont été déchiffrées par le navigateur. Si vous voulez vous en assurer, utilisez quelque chose comme Fiddler ou WebScarab en tant que proxy, même si vous devrez peut-être jouer à des jeux pour les faire jouer correctement avec SSL. Voici une page sur la façon de déchiffrer le trafic HTTPS à l' aide de Fiddler.
la source