Sécurité: Envoi de l'adresse e-mail dans un paramètre d'URL

Est-il considéré comme une mauvaise pratique de sécurité d'inclure l'adresse e-mail de quelqu'un dans un URL en tant que paramètre sur http? L'adresse e-mail appartient à un client, et il se peut qu'elle ne veuille pas que quelqu'un le voie. L'URL pointe vers mon propre domaine, je crée simplement des URL uniques avec des adresses e-mail en tant que paramètre afin que je puisse détecter qui a visité l'URL. Quelqu'un peut-il sniffer le trafic http pour extraire cette information?Sécurité: Envoi de l'adresse e-mail dans un paramètre d'URL

Source

2013-06-25 Norman Cousineau

Envoyez-vous ces liens dans des courriels? Envisagez plutôt de créer une table de base de données en mappant l'utilisateur sur un jeton aléatoire et de passer ce jeton dans le lien. –

Oui, c'est une mauvaise habitude de mettre des informations personnelles dans l'URL. Une URL peut être mise en cache et visualisée de nombreuses façons. Même si vous utilisez le protocole SSL, les URL sont toujours sauvegardées dans l'historique de votre navigateur, ce qui me pousse à rechigner à transmettre des données non publiques dans l'URL. Habituellement, il n'y a plus de travail pour transmettre des informations dans le corps d'une requête POST, c'est ce que je ferais.

Source

2013-06-25 17:45:14 woz

Les contenus +1 url se retrouvent également dans les proxy et weblogs. – u2702

Sécurité: Envoi de l'adresse e-mail dans un paramètre d'URL

Répondre

Questions connexes