Configurei meu servidor web para usar SSL (estou usando WAMP para meu cenário de teste antes de movê-lo para servidores públicos). O objetivo do site em questão foi bem-sucedido e posso usá-lo em computadores remotos usando o protocolo HTTPS.
Uma preocupação que surgiu com um dos meus usuários (testadores) foi em relação aos dados do POST. Em seu cenário de teste, ele está no local de um de nossos clientes em potencial, acessando o site atrás de seu firewall corporativo MUITO exigente (já descobrimos como esse site se aplica ao seu AUP e estamos limpos). Ele está executando o site no FireFox usando o Firebug para monitorar os dados POST e GET. A questão está aqui:
Em sua janela do Firebug, o POST e a resposta do XMLHTTPRequest estão voltando em texto simples. É porque foi ele quem iniciou a conexão segura? Os dados do POST/Resposta aparecerão para os administradores ou registros da rede?
Observe que a intenção aqui não é enganar os administradores ou contornar as políticas; este é um aplicativo destinado a pessoas presentes em vários locais que precisam transmitir dados confidenciais. O uso será coordenado com cada infraestrutura de rede que encontrarmos.
Responder1
Sim, os dados POST devem ser criptografados. Tudo na solicitação HTTP deve ser criptografado em uma conversa SSL. O Firebug obtém suas informações depois que os dados SSL são descriptografados pelo navegador. Se você quiser garantir, use algo comoViolinistaouWebScarabcomo um proxy intermediário, embora você possa ter que jogar para que eles funcionem bem com SSL. Aqui está uma página sobre comodescriptografar o tráfego HTTPSusando o Fiddler.