39 votos

¿Son cabeceras de petición resto encriptados por SSL?

Estoy desarrollando una aplicación cliente/servidor que se comunica via resto. Algunos datos de la petición de encargo se almacenarán en el encabezado de la solicitud. ¿Tanto el servidor enviando la solicitud y el servidor tienen un certificado SSL - se cifrarán las cabeceras, o simplemente el contenido?

52voto

Ori Pessach Puntos 4957

SSL encripta toda la ruta de comunicaciones desde el cliente al servidor y volver, eso sí - los encabezados serán encriptados.

Por cierto, si el desarrollo de aplicaciones de red, y se preocupan por la seguridad de los datos, lo menos que debe hacer es leer un libro como la Práctica de la Criptografía, por Niels Ferguson y Bruce Schneier, y probablemente aún más la lectura que se centra más en la seguridad de aplicaciones web sería una buena idea. Si me pueden hacer una observación - y por favor, no quiero decir que como una crítica personal - su pregunta indica una fundamental falta de comprensión de muy básicos de la web, tecnologías de seguridad, y eso nunca es una buena señal.

Además, nunca es una mala idea para confirmar que los datos que se supone cifrado es de hecho cifrados. Usted puede utilizar un analizador de red para monitorear el tráfico en el cable y mirar hacia fuera para cualquier cosa sensible que se envía en el claro. He usado Wireshark para hacer esto antes de que los resultados pueden ser sorprendentes, a veces.

6voto

zigdon Puntos 8753

Como se está comunicando en el túnel SSL, todo enviado entre el servidor y el cliente se cifrará. El cifrado se realiza antes de que cualquier dato es enviado o recibido.

5voto

cjm Puntos 44090

Encabezados y contenido están encriptados.

3voto

ddaa Puntos 19102

Usted parece pensar que el DESCANSO es una clara protocolo.

El RESTO no es un protocolo. Es un estilo de diseño basadas en HTTP aplicaciones.

Así, en su escrito de una aplicación HTTP. Son los encabezados de cifrado? Sí, si usted está usando HTTPS (HTTP sobre SSL), en lugar de HTTP plano.

Tener certificados en ambos lados no es directamente relevante a su pregunta. Los certificados SSL se utilizan para la autenticación. Ellos ayudan en la detección de man-in-the-middle ataques son posibles mediante el envenenamiento de caché DNS.

2voto

Vinko Vrsalovic Puntos 116138

Tener un certificado no es suficiente, tienes que configurar el servidor web para encriptar las conexiones (es decir, para utilizar el certificado) para ese dominio o host virtual. Además, creo que solo necesita un solo certificado, las respuestas a las solicitudes se cifrarán.

Y sí, las cabeceras HTTP se cifran así como de los datos.

Iteramos.com

Iteramos es una comunidad de desarrolladores que busca expandir el conocimiento de la programación mas allá del inglés.
Tenemos una gran cantidad de contenido, y también puedes hacer tus propias preguntas o resolver las de los demás.

Powered by:

X