Ich habe meinen Webserver für die Verwendung von SSL eingerichtet (ich verwende WAMP für mein Staging-Szenario, bevor ich es auf öffentliche Server verschiebe). Der Zweck der vorliegenden Site ist erfolgreich und ich kann die Site von Remotecomputern mit dem HTTPS-Protokoll aus verwenden.
Ein Anliegen, das bei einem meiner Benutzer (Tester) aufkam, betraf die POST-Daten. In seinem Testszenario ist er bei einem unserer potenziellen Kunden vor Ort und greift auf die Site hinter ihrer SEHR wählerischen Unternehmensfirewall zu (wir haben bereits herausgefunden, wie diese Site auf ihre AUP angewendet wird, und wir sind sauber). Er führt die Site in FireFox mit Firebug aus, um die POST- und GET-Daten zu überwachen. Die Frage ist hier:
In seinem Firebug-Fenster werden der POST und die Antwort von XMLHTTPRequest im Klartext zurückgegeben. Liegt das daran, dass er die sichere Verbindung initiiert hat? Werden die POST- / Antwortdaten den Netzwerkadministratoren oder -protokollen angezeigt?
Bitte beachten Sie, dass es hier nicht darum geht, Administratoren zu täuschen oder Richtlinien zu umgehen. Dies ist eine Anwendung, die für Personen vor Ort an verschiedenen Standorten gedacht ist, die sensible Daten übertragen müssen. Die Nutzung wird mit jeder Netzwerkinfrastruktur koordiniert, auf die wir stoßen.
quelle
Antworten:
Ja, POST-Daten sollten verschlüsselt sein. Alles in der HTTP-Anforderung sollte in einer SSL-Konversation verschlüsselt werden. Firebug erhält seine Informationen, nachdem SSL-Daten vom Browser entschlüsselt wurden. Wenn Sie sicherstellen möchten, sollten Sie Fiddler oder WebScarab als Proxy verwenden, obwohl Sie möglicherweise Spiele spielen müssen, damit sie gut mit SSL funktionieren. Auf dieser Seite erfahren Sie, wie Sie HTTPS-Datenverkehr mit Fiddler entschlüsseln können .
quelle