2010年4月12日月曜日

HTTPS(HTTP over SSL/TLS)のGETメソッドは暗号化されるか

いままでGETにセキュリティ上重要な情報を乗せるような実装をしてこなかったので
今更ながら調べてみた。

結論としては「GETも暗号化される・・・らしい」

技術者掲示板などの情報は得られたが、
もっとオフィシャルな情報はイマイチ見つけられなかった。

ちなみにGETメソッドでデータを送るというのは
「https://www.example.com/index.html?id=xxxx&p=zzzz」
上記のようなURLの「?id=xxxx&p=zzzz」部分のこと。

また、本件とは別の話だが、重要情報をGETやPOSTで送信する場合
HTTPSで暗号化した上でデータ送信元のwebページもhttpsを実装しなくてはならない。
(フィッシングなどの恐れがあるため)


今回参考にさせていただいたのは以下のサイト

SSLでHTTPメッセージはどの部分が暗号化されるの?(@IT掲示板)

httpsのサイトにget送信した場合の暗号化について(@IT掲示板)

httpsのサイトにpost送信した場合の暗号化について(@IT掲示板)

SSLの暗号化通信について(なぜなにGAC->サーバー)

SSL通信のURL暗号化について(おしえてgoo)

HTTPSでGETメソッドを使うと引数は暗号化されるらしい(よろず投資日記・個別株式の自動売買)

HTTPS(Wiki)

0 件のコメント:

コメントを投稿