Ankündigung

Einklappen
Keine Ankündigung bisher.

Frage zu https und GET/POST

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Frage zu https und GET/POST

    Hallo in die Runde,

    ich bin gerade dabei eine App zu bauen und am überlegen wie ich gewisse Parameter (logintoken) "sicher" an den Server übertrage. Wenn ich über eine https-Verbindung eine URL mit GET-Parametern übertrage: Ist diese Information (URL +Parameter) schon verschlüsselt?

    Oder sollte ich die Parameter selber mit POST übertragen damit diese verschlüsselt sind? Ab "wann" greift die Verschlüsselung von https?
    Markus
    ---
    https://www.facebook.com/markus.weber.180410

    #2
    "GET" ist eine ganz schlechte Idee, da dann der komplette Login inkl. Passwort automatisch vom Browser in der History gespeichert wird.

    Wenn bereits das Login-Formular auf https läuft ist von Anfang an alles verschlüsselt.

    ​​​​​​
    MfG,
    masterframe

    Kommentar


      #3
      In dem Fall geht es um eine App, die einen Request an einen Server sendet. Sprich Browserhistorie ist hier nicht relevant.

      Für mich wäre es halt nur interessant zu wissen ob die URL schon verschlüsselt übertragen wird (und damit auch die GET-Parameter) oder ob erst der Header eines Requests (und damit die POST-Daten) verschlüsselt wird

      BTW: Das man solche Daten auf herkömmlichen Seiten nicht via GET überträgt ist logisch...aber da sollte auch kein Kennwort über die Leitung gehen, das kann man ja schon im Browser hashen/verschlüsseln....

      [edit] mir ist klar, dass es besser/sicherer wäre alles via POST zu machen....aber die Frage erschien mir wissenswert....
      Zuletzt geändert von wecotec; 03.12.2019, 20:49.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #4
        Im Endeffekt ist die URL auch nur ein Teil des Headers ("GET /example.php?param1=value2"). Also ja, wird auch verschlüsselt.

        Was nicht verschlüsselt wird: Der Hostname. Wegen SNI.

        Kommentar


          #5
          Zitat von Lukas M. Beitrag anzeigen
          Im Endeffekt ist die URL auch nur ein Teil des Headers ("GET /example.php?param1=value2"). Also ja, wird auch verschlüsselt.
          Wieder was gelernt, danke !

          Markus
          ---
          https://www.facebook.com/markus.weber.180410

          Kommentar


            #6
            Das Token als GET-Parameter anzuhängen ist weniger sinnvoll - Verschlüsselung hin oder her. Das Token kann dann trotzdem in LogFiles etc. stehen und da abgegriffen werden. Packe es lieber in einen zusätzlichen Authorization-Header. Du kannst die Risiken weiter reduzieren, wenn Du Merkmale des Clients in das Token einbindest und das Token signierst. Das muss man auch nicht alles neu erfinden, sondern genau dafür gibt es Standards wie JSON Web Token. Für JWT gibt es fertige Bibliotheken für so ziemlich jede Programmiersprache, die ein bequemes Erstellen/Signieren/Verifizieren der Token ermöglichen.
            https://jwt.io/

            Kommentar


              #7
              Zitat von rp_df Beitrag anzeigen
              Das Token kann dann trotzdem in LogFiles etc. stehen und da abgegriffen werden. Packe es lieber in einen zusätzlichen Authorization-Header.
              Danke für den Hinweis, wenn ich es lese ist es logisch....werde das jetzt mal entsprechend umsetzen, hab extra diese Diskussion abgewartet

              Markus
              ---
              https://www.facebook.com/markus.weber.180410

              Kommentar

              Lädt...
              X