Насколько безопасен POST запрос?

Question

[protasovmikhail]

Насколько безопасен POST запрос? Шифровать ли его дополнительно? На гугле дырка уж... И если шифровать, то как это сделать с помощью JS??(В принципе как понятно, но очень было бы приятно линк на русскоязычную статью), желательно посредством jQ.

UPD: Перефразирую: насколько он стоек к атаке посредника?

Спасибо.

Answer 1

[Алексей Исмаилов]

Если речь про защиту от перехвата, то используйте SSL. Что POST, что GET при перехвате открытым текстом прочитают.

Comments

[protasovmikhail]

Отписал про эти сертификаты под комментом Алексея

[Алексей Исмаилов]

Ну я вам там и ответил =)

Answer 2

[Алексей Шеин]

Что значит "безопасен"? Безопасность может разная. Если вы боитесь, что третья сторона может прочитать данные по пути к серверу (гуглить по словам man in the middle attack), то самый простой выход - это использовать https: купить сертификат и на критичных страницах (например, оплата товара в электронном магазине, посылка данных кредитной карты и т.п.) использовать только https.
Ознакомьтесь с основными видами угроз в вебе, это можно сделать, например, на сайте owasp.org. Там есть PDF для скачки, либо можно читать прямо в wiki.

Comments

[protasovmikhail]

а зачем мне платить кому-то, если я сам средствами того же jQ смогу шифровать на клиенте и дешифровать на сервере. Атака посредника сразу отметается, а атака на машину клиента HTTPS не решается. Итог: платить для рейтинга гугла?)))

[Алексей Исмаилов]

Платить, если уж смотреть с «житейских» понятий, нужно за то, чтобы не рассказывать каждому пришедшему на сайт человеку, что, мол, у нас тут самоподписанный сертификат, вы уж качните его себе и ругаться перестанет. Т.е. вы покупаете сертификат у доверенного центра, который представлен в хранилище сертификатов каждого браузера.

[Алексей Шеин]

Шифрование вручную - это а) лишняя нагрузка на сеть, т.к. увеличивается размер запроса, б) лишняя работа для разработчика (интересно посмотреть как вы будете шифровать ВСЕ запросы с сервера и обратно) в) лишняя нагрузка на сервер при дешифрации на уровне приложения (а не сетевого протокола как в случае с https) и, самое главное, г) очень, ОЧЕНЬ тяжело сделать правильную реализацию шифрования, TLS улучшался годами и людьми, намного умнее нас с вами, так что удачи. Вот здесь ответили подробнее, чем я - почитайте.

[protasovmikhail]

при гб каналах...

данные скрипт шифрование пост сервер дешифрование выполнение шифрование ответ скрипт дешифр вывод, не?) пара ключей. две пары)

нагрузка не такая уж и большая

а о правильной речи быть и не может. достаточно что бы в течении суток ее не расшифровали, шифр1(шифр2(данные)+некоторое кол-во байт);

[protasovmikhail]

и я не шарю в английском

[protasovmikhail]

Алексей Исмаилов: Я как бы намекнул что вообще без сертификата выданого кем то, пусть заходя на мой сайт люди видят - Безопасное соединение установлено. Безопасность обеспечена такойто(линк) технологией.

[protasovmikhail]

Алексей Шеин: на счет пункта г. свой велосипед соберу из годами проверенных деталей))

[DevMan]

К чему столько вопросов, если вы все знаете и решили, что собственное шифрование вам поможет.

[Алексей Шеин]

"Не хочу учиться, а хочу жениться" (с) Удачи тогда :)

[Алексей Исмаилов]

Алексей Шеин два чая =)

[protasovmikhail]

К тому спрашивал, что знаю далеко не все. Всем спасибо. Вопрос исчерпан)

[Александр Таратин]

protasovmikhail: Просто поверьте на слово. Не нужно ничего лепить самостоятельно. Купите сертификат www.gunsmoker.ru/2008/10/x-y-z.html

[Александр Таратин]

protasovmikhail: Или бесплатный даже можно взять habrahabr.ru/post/106252

Answer 3

[Vladislav Soprun]

Насколько безопасен POST запрос?

"Абсолютно безопасен" если нету дыр в Вашем приложении.

Шифровать ли его дополнительно?

А смысл?! Увеличиваете время отправки на шифрование и дешифрирование.

Никогда нельзя доверять тому что приходит от пользователей! Всегда необходимо проверять данные, экранировать их и т.д.
А идеальной и 100% защиты нет, всегда найдется умелец который смогёт :)

Comments

[protasovmikhail]

Имеется ввиду насколько он безопасен, если пакет перехватят. В моем приложении дыр пока нет)

[protasovmikhail]

Вы не поняли вопрос или я не так написал)