Ich habe meinen Webserver für die Verwendung von SSL eingerichtet (ich verwende WAMP für mein Staging-Szenario, bevor ich es auf öffentliche Server verschiebe). Der Zweck der vorliegenden Site wurde erfüllt und ich kann die Site von Remotecomputern aus über das HTTPS-Protokoll verwenden.
Einer meiner Benutzer (Tester) äußerte Bedenken hinsichtlich der POST-Daten. In seinem Testszenario ist er vor Ort bei einem unserer potenziellen Kunden und greift auf die Site hinter der SEHR anspruchsvollen Firewall des Unternehmens zu (wir haben bereits herausgefunden, wie diese Site auf ihre AUP zutrifft, und wir sind sauber). Er betreibt die Site in FireFox und verwendet Firebug, um die POST- und GET-Daten zu überwachen. Die Frage lautet:
In seinem Firebug-Fenster werden POST und Response von XMLHTTPRequest im Klartext zurückgegeben. Liegt das daran, dass er derjenige war, der die sichere Verbindung initiiert hat? Werden die POST/Response-Daten den Netzwerkadministratoren oder Protokollen angezeigt?
Bitte beachten Sie, dass es hier nicht darum geht, Administratoren zu täuschen oder Richtlinien zu umgehen. Diese Anwendung ist für Personen vor Ort an verschiedenen Standorten gedacht, die vertrauliche Daten übertragen müssen. Die Nutzung wird mit jeder Netzwerkinfrastruktur koordiniert, auf die wir stoßen.
Antwort1
Ja, POST-Daten sollten verschlüsselt werden. Alles in der HTTP-Anforderung sollte in einer SSL-Konversation verschlüsselt werden. Firebug erhält seine Informationen, nachdem die SSL-Daten vom Browser entschlüsselt wurden. Wenn Sie dies sicherstellen möchten, verwenden Sie etwas wieGeigeroderWebScarabals Proxy dazwischen, obwohl Sie möglicherweise Spiele spielen müssen, damit sie gut mit SSL funktionieren. Hier ist eine Seite mit Informationen dazuHTTPS-Verkehr entschlüsselnmit Fiddler.