私はdoget()またはdopost()メソッドを使用してログインフォームに入力されたユーザー名とパスワードフィールドを処理する多くのWebサイトに出くわしました。私たちがdoget()を使うとき、私は自分自身でusernameとpasswordフィールドを暗号化しなければなりません。これは、dopost()ではそうではないURLに追加されます。どのような方法がログインフォームdoget()またはdopost()に使用する方が良いですか?
しかし、私は、dopost()が安全で安全であるかどうかは、ユーザ名とパスワードフィールドが機密性の高いデータであるかどうかについて少し心配していました。
ログインフォームで使用するメリットとデメリットのどちらも教えてください。
POSTには高いオーバーヘッドがあります(私たちが正直であればわずかですが、すべてが加算されます)が、URLの一部にはならないので、カジュアルオブザーバーユーザの肩の上に置くことができますが、GETは可能です。しかし、どちらも暗号化を使用しないと、ネットワーク上で簡単に傍受される可能性があります。暗号化を使用しないと安全ではありません...パスワードを盗み見ることなく誰でも読むことができるため、GETは悪化します。
GETを使用すると、ユーザーはURLを変更するだけで簡単に入力を変更できます。これは良いことか悪いことか、ケースバイケースで決定する必要があります。投稿はユーザーが簡単に変更することはできません。
秘密は、送信する前にパスワードや機密データを暗号化することです。そうすれば、パケットが傍受され、文字列を暗号化しているので、誰かがそれをユーザーの肩で読み取るかどうか気にする必要はありません。したがって、GETを使用して、オーバーヘッドは、長くてかわいらしいURLを犠牲にしています。この段階ではどちらも他のものよりも本当に安全です。
理想的なセキュリティの世界では、POSTにSSLを使用すると、URLには何も簡単に傍受されることはなく、傍受されるものは何も簡単に使用できません。
また、もし私がいくつかの大きな企業がdopostの代わりにdogetを使っているのを見るまでは、そう思っていたのですが、Ex FacebookやOrkutもdogetを使っているのですが、クエリ文字列は間違いなく暗号化されています。 – Nav
IMO doPost()を使用してください。また、doPost()を使用してパスワードを暗号化する必要があります。より正確にはSSLを使用します。 –
@Harry ok素早く答えていただきありがとうございますが、なぜ私は、パスワードを暗号化する必要があるのか分からないのですが、私はそれをdopostのリクエストボディから送信しています...私は "それはハッキング可能ですか? "?? – Nav
質問が絶対的に本物である理由を明記せずに投票理由を教えてください。>: – Nav