我正在做一些codeacadamy课程。这是一项很棒的服务,值得推荐。
我注意到他们使用了一些跟踪。他们使用ajax帖子将用户信息发送给他们的跟踪提供商。 http://track.segment.io/
它发送一些json -
{"data":{},"newId":"myemail.emailn@gmail.com","api_key":"sfdsdkjf","user_id":"myemail.email@gmail.com","callbackId":111,"attributes":{"firstSeen":"2012-02-15T17:28:23.978Z","lastSeen":"2012-02-15T17:28:23.978Z","temp":false},"context":{"timestamp":"2012-02-15T17:28:23.979Z","visit":{"id":"asfsaasfsa","start":"2012-02-15T15:23:11.000Z","end":"2012-02-15T17:28:23.978Z"}}}
您会注意到,由于我没有设置我的用户名,因此它使用我的电子邮件作为对我的参考。这对我来说似乎是不好的做法,但我不确定为什么。
我的问题是 -
他们应该通过https发送此信息吗?我认为任何个人信息都应该通过https发送,但我不明白为什么。这里存在安全隐患吗?
答案 0 :(得分:1)
是和否。人类总是有中间攻击的可能性。但你必须问自己......我的电子邮件和API密钥是否真的在另一个人的手中如此危险?这实际上涉及项目的风险评估和计算风险管理。
如果公司觉得披露这些凭据不能用于升级攻击,那么这就是为什么这些信息不那么安全了。但是,如果有可能升级,除非你自己尝试哈哈,否则你永远不会知道。
答案 1 :(得分:1)
你是对的,他们应该通过https发送个人信息,因为它是一个使用SSL的安全连接。 这意味着谁在你的网络上不能(或者,对他来说很难)获取你的请求的数据。
如果不使用SSL,任何共享您网络的人都可以看到您发送/接收的所有数据。
不幸的是,没有办法强制执行。
答案 2 :(得分:0)
您发送带有JSON有效负载的HTTP POSTS并不像使用HTTPS那样安全。但是,与包含您的个人信息的任何其他HTTP通信相比,这或多或少安全。
例如,如果您的电子邮件地址位于服务器上普通HTML页面的表格中:
<table>
<tr><td>Email:</td><td>myemail.emailn@gmail.com</td></tr>
</table>
...那么这就像AJAX方法一样存在问题。
归结为网站的要求。如果您正在做类似网上银行的事情,那么HTTPS是必须的。但是,我怀疑你在使用Code Aadamy这样的网站时,不得不担心黑客会拦截HTTP流量,而HTTPS也会付出代价。