Skonfigurowałem mój serwer WWW do korzystania z SSL (używam WAMP w moim scenariuszu przemieszczania, zanim przejdę na serwery publiczne). Cel tej witryny się powiódł i jestem w stanie korzystać ze strony ze zdalnych komputerów za pomocą protokołu HTTPS.
Obawy, które pojawiły się w przypadku jednego z moich użytkowników (testerów), dotyczyły danych POST. W scenariuszu testowym jest on na miejscu u jednego z naszych potencjalnych klientów, uzyskując dostęp do witryny za BARDZO wybredną zaporą korporacyjną (już ustaliliśmy, jak ta strona ma zastosowanie do ich AUP, i jesteśmy czysti). Prowadzi witrynę w FireFox za pomocą Firebug do monitorowania danych POST i GET. Pytanie jest tutaj:
W jego oknie Firebug POST i Odpowiedź z XMLHTTPRequest wracają jako zwykły tekst. Czy to dlatego, że to on zainicjował bezpieczne połączenie? Czy dane POST / odpowiedzi zostaną wyświetlone administratorom sieci lub dziennikom?
Należy pamiętać, że celem tego nie jest oszukiwanie administratorów ani obchodzenie zasad; jest to aplikacja przeznaczona dla osób przebywających na miejscu w różnych lokalizacjach, które muszą przesyłać wrażliwe dane. Użycie będzie koordynowane z każdą napotkaną infrastrukturą sieciową.
źródło
Odpowiedzi:
Tak, dane POST powinny być szyfrowane. Wszystko w żądaniu HTTP powinno być szyfrowane w rozmowie SSL. Firebug pobiera informacje po odszyfrowaniu danych SSL przez przeglądarkę. Jeśli chcesz to zapewnić, użyj czegoś takiego jak Fiddler lub WebScarab jako pośrednik siedzący pomiędzy nimi, chociaż być może będziesz musiał zagrać w gry, aby dobrze grały z SSL. Oto strona, jak odszyfrować ruch HTTPS za pomocą Fiddlera.
źródło