it-swarm-es.tech

¿Son REST encabezados de solicitud encriptados por SSL?

Estoy desarrollando una aplicación cliente/servidor que se comunicará a través del resto. Algunos datos de solicitud personalizados se almacenarán en el encabezado de la solicitud. Tanto el servidor que envía la solicitud como el servidor receptor tienen un certificado SSL: ¿se cifrarán los encabezados o solo el contenido?

41
Adam Hopkinson

SSL encripta toda la ruta de comunicación desde el cliente al servidor y viceversa, así que sí, los encabezados se encriptarán.

Por cierto, si desarrolla aplicaciones en red y le preocupa la seguridad de los datos, lo menos que debe hacer es leer un libro como Criptografía práctica, de Niels Ferguson y Bruce Schneier, y probablemente una lectura más centrada en la seguridad de las aplicaciones web sería una buena idea. idea. Si puedo hacer una observación, y por favor, no lo digo como una crítica personal, su pregunta indica una falta fundamental de comprensión de tecnologías de seguridad web muy básicas, y eso nunca es una buena señal.

Además, nunca es una mala idea confirmar que los datos que se supone que están encriptados están encriptados. Puede usar un analizador de red para monitorear el tráfico en el cable y estar atento a cualquier cosa sensible que se envíe de forma clara. He usado Wireshark para hacer esto antes; los resultados pueden ser sorprendentes, a veces.

57
Ori Pessach

Mientras se esté comunicando en el túnel SSL, todo lo que se envíe entre el servidor y el cliente estará encriptado. El cifrado se realiza antes de enviar o recibir datos.

6
zigdon

Tanto los encabezados como el contenido están encriptados.

5
cjm

Parece pensar que REST es un protocolo distinto.

REST no es un protocolo. Es un estilo de diseño para aplicaciones basadas en HTTP.

Entonces, estás escribiendo una aplicación HTTP. ¿Están encriptados los encabezados? Sí, si está utilizando el protocolo HTTPS (HTTP sobre SSL) en lugar de HTTP simple.

Tener certificados en ambos lados no es directamente relevante para su pregunta. Los certificados SSL se utilizan para la autenticación. Ayudan a detectar ataques de hombre en el medio, como son posibles usando el envenenamiento de caché DNS.

3
ddaa

Tener un certificado no es suficiente, debe configurar el servidor web para encriptar las conexiones (es decir, usar el certificado) para ese dominio o Host virtual. Además, creo que solo necesitaría un certificado único, las respuestas a las solicitudes seguirán cifradas.

Y sí, los encabezados HTTP están encriptados, así como los datos.

2
Vinko Vrsalovic

SSL ... o más bien HTTPS (HTTP sobre SSL) envía todo el contenido HTTP sobre SSL, y como el contenido HTTP y los encabezados son, de hecho, lo mismo, esto significa que los encabezados también están encriptados. Al ver que GET y POST datos se envían a través de encabezados HTTP, entonces solo tiene sentido cuando se envían datos de forma segura, no solo querría que el código de respuesta o el contenido se encripten.

0
Wesley Mason

Las otras respuestas son correctas: los encabezados están encriptados, junto con el cuerpo, cuando se usa SSL. Pero tenga en cuenta que la URL, que puede incluir parámetros de consulta, está nunca encriptada. Por lo tanto, tenga cuidado de nunca poner información confidencial en los parámetros de consulta de URL.

Actualización: como @blowdart señaló a continuación, esto está mal. Ver el comentario a continuación.

0
Avi Flax