我已经将我的 Web 服务器设置为使用 SSL(在将其移至公共服务器之前,我将 WAMP 用于我的临时方案)。手头网站的用途已成功实现,我能够使用 HTTPS 协议从远程计算机使用该网站。
我的一位用户(测试人员)担心 POST 数据。在他的测试场景中,他在我们的一个潜在客户的现场,通过他们非常挑剔的公司防火墙访问该网站(我们已经弄清楚了该网站如何适用于他们的 AUP,并且我们是安全的)。他使用 FireFox 运行该网站,使用 Firebug 来监控 POST 和 GET 数据。问题如下:
在他的 Firebug 窗口中,XMLHTTPRequest 的 POST 和响应以纯文本形式返回。这是因为他是发起安全连接的人吗?POST/响应数据会显示给网络管理员或日志吗?
请注意,此处的目的并非欺骗管理员或规避政策;此应用程序旨在供需要传输敏感数据的各个地点的现场人员使用。使用将与我们遇到的每个网络基础设施协调。
答案1
是的,POST 数据应该加密。HTTP 请求中的所有内容都应在 SSL 对话中加密。浏览器解密 SSL 数据后,Firebug 会获取其信息。如果您想确保安全,请使用类似Fiddler或者圣甲虫作为中间的代理,尽管你可能必须玩游戏才能让它们与 SSL 很好地配合。这里有一个关于如何解密 HTTPS 流量使用 Fiddler。