Configuré mi servidor web para usar SSL (estoy usando WAMP para mi escenario de preparación antes de pasarlo a servidores públicos). El propósito del sitio en cuestión se ha cumplido y puedo utilizar el sitio desde computadoras remotas utilizando el protocolo HTTPS.
Una preocupación que le surgió a uno de mis usuarios (probadores) fue con respecto a los datos POST. En su escenario de prueba, él está en el sitio de uno de nuestros clientes potenciales, accediendo al sitio detrás de su firewall corporativo MUY exigente (ya hemos descubierto cómo se aplica este sitio a su AUP y estamos limpios). Está ejecutando el sitio en Firefox usando Firebug para monitorear los datos POST y GET. La pregunta está aquí:
En su ventana de Firebug, la POST y la respuesta de XMLHTTPRequest vuelven en texto sin formato. ¿Es porque fue él quien inició la conexión segura? ¿Los datos de POST/Respuesta se mostrarán a los administradores o registros de la red?
Tenga en cuenta que la intención aquí no es engañar a los administradores ni eludir las políticas; Esta es una aplicación destinada a personas en el sitio en diversos lugares que necesitan transmitir datos confidenciales. El uso se coordinará con cada infraestructura de red que encontremos.
Respuesta1
Sí, los datos POST deben estar cifrados. Todo el contenido de la solicitud HTTP debe cifrarse en una conversación SSL. Firebug obtiene su información después de que el navegador haya descifrado los datos SSL. Si quieres asegurarte, usa algo comoViolinistaoWebEscarabajocomo un proxy en el medio, aunque es posible que tengas que jugar juegos para que funcionen bien con SSL. Aquí hay una página sobre cómodescifrar el tráfico HTTPSusando violinista.