Saya telah menyiapkan server web saya untuk menggunakan SSL (Saya menggunakan WAMP untuk skenario pementasan saya sebelum saya pindah ke server publik). Tujuan situs yang ada telah berhasil dan saya dapat menggunakan situs tersebut dari komputer jarak jauh menggunakan protokol HTTPS.
Kekhawatiran yang muncul dengan salah satu pengguna saya (penguji) adalah sehubungan dengan data POST. Dalam skenario pengujiannya, ia ada di lokasi di salah satu klien potensial kami, mengakses situs di belakang firewall perusahaan SANGAT pilih-pilih mereka (kami telah mengetahui bagaimana situs ini berlaku untuk AUP mereka, dan kami bersih). Dia menjalankan situs di FireFox menggunakan Firebug untuk memantau data POST dan GET. Pertanyaannya ada di sini:
Di jendela Firebug-nya, POST dan Respons dari XMLHTTPRequest kembali dalam teks biasa. Apakah itu karena dia yang memulai koneksi aman? Akankah data POST / Respons muncul di admin jaringan atau log?
Harap perhatikan bahwa maksud di sini bukan untuk menipu admin atau menghindari kebijakan; ini adalah aplikasi yang ditujukan untuk orang-orang di lokasi di berbagai lokasi yang perlu mengirimkan data sensitif. Penggunaan akan dikoordinasikan dengan setiap infrastruktur jaringan yang kami temui.
sumber
Jawaban:
Ya, data POST harus dienkripsi. Segala sesuatu dalam permintaan HTTP harus dienkripsi dalam percakapan SSL. Firebug mendapatkan informasinya setelah data SSL didekripsi oleh browser. Jika Anda ingin memastikan, gunakan sesuatu seperti Fiddler atau WebScarab sebagai proksi yang berada di antara keduanya meskipun Anda mungkin harus memainkan game agar mereka dapat bermain dengan baik dengan SSL. Berikut adalah halaman tentang cara mendekripsi lalu lintas HTTPS menggunakan Fiddler.
sumber