He configurado mi servidor web para usar SSL (estoy usando WAMP para mi escenario de preparación antes de moverlo a servidores públicos). El propósito del sitio en cuestión ha tenido éxito y puedo usar el sitio desde computadoras remotas usando el protocolo HTTPS.
Una preocupación que surgió con uno de mis usuarios (probadores) fue con respecto a los datos POST. En su escenario de prueba, está en el sitio de uno de nuestros clientes potenciales, accediendo al sitio detrás de su firewall corporativo MUY exigente (ya hemos resuelto cómo este sitio se aplica a su AUP, y estamos limpios). Está ejecutando el sitio en Firefox usando Firebug para monitorear los datos POST y GET. La pregunta está aquí:
En su ventana de Firebug, la POST y la Respuesta de XMLHTTPRequest vuelven en texto plano. ¿Es porque fue él quien inició la conexión segura? ¿Los datos POST / Response se mostrarán a los administradores o registros de la red?
Tenga en cuenta que la intención aquí no es engañar a los administradores o eludir las políticas; Esta es una aplicación destinada a personas en el sitio en varios lugares que necesitan transmitir datos confidenciales. El uso se coordinará con cada infraestructura de red que encontremos.
fuente
Respuestas:
Sí, los datos POST deben estar encriptados. Todo en la solicitud HTTP debe encriptarse en una conversación SSL. Firebug obtiene su información después de que el navegador haya descifrado los datos SSL. Si quieres asegurarte, usa algo como Fiddler o WebScarab como un proxy intermedio, aunque es posible que tengas que jugar juegos para que jueguen bien con SSL. Aquí hay una página sobre cómo descifrar el tráfico HTTPS usando Fiddler.
fuente