Les paramètres de chaîne de requête sont-ils sécurisés dans HTTPS (HTTP + SSL)?
Les paramètres de chaîne de requête sont-ils chiffrés dans HTTPS lorsqu’ils sont envoyés avec une demande?
Oui. La chaîne de requête est également cryptée avec SSL. Néanmoins, comme cet article le montre, ce n'est pas une bonne idée de mettre des informations sensibles dans l'URL. Par exemple:
Les URL sont stockées dans les journaux du serveur Web - généralement, l’URL complète de chaque demande est stockée dans un journal du serveur. Cela signifie que toutes les données sensibles de l'URL (par exemple, un mot de passe) sont en cours d'enregistrement en texte clair sur le serveur.
rappelez-vous que SSL/TLS fonctionne au niveau de la couche transport, de sorte que tout le bon sens se passe sous le truc HTTP de la couche application.
http://en.wikipedia.org/wiki/File:IP_stack_connections.svg
c'est la longue façon de dire: "Oui!"
Toute la transmission, y compris la chaîne de requête, l'URL complète et même le type de requête (GET, POST, etc.) est cryptée lors de l'utilisation de HTTPS.
Je ne suis pas d'accord avec les conseils donnés ici - même la référence de la réponse acceptée conclut:
Vous pouvez bien sûr utiliser les paramètres de chaîne de requête avec HTTPS, mais ne les utilisez pas pour quoi que ce soit qui pourrait présenter un problème de sécurité. Par exemple, vous pouvez les utiliser en toute sécurité pour identifier des numéros de pièces ou des types d’affichage tels que "accountview" ou "printpage", mais ne les utilisez pas pour les mots de passe, les numéros de carte de crédit ou d’autres informations qui ne devraient pas être accessibles au public.
Alors non, ils ne sont pas vraiment en sécurité ...!