Configurei meu servidor da web para usar SSL (estou usando o WAMP para meu cenário de preparação antes de movê-lo para servidores públicos). O objetivo do site em questão foi bem-sucedido e eu posso usar o site de computadores remotos usando o protocolo HTTPS.
Uma preocupação que surgiu com um dos meus usuários (testadores) foi em relação aos dados do POST. Em seu cenário de teste, ele está no local em um de nossos possíveis clientes, acessando o site por trás de seu firewall corporativo MUITO exigente (já explicamos como esse site se aplica à sua AUP e estamos limpos). Ele está executando o site no FireFox usando o Firebug para monitorar os dados POST e GET. A questão está aqui:
Em sua janela do Firebug, o POST e o Response do XMLHTTPRequest estão retornando em texto simples. É porque foi ele quem iniciou a conexão segura? Os dados do POST / Response serão exibidos para os administradores ou registros da rede?
Por favor, tome nota que a intenção aqui não é enganar os administradores ou burlar as políticas; Este é um aplicativo destinado a pessoas no local em vários locais que precisam transmitir dados confidenciais. O uso será coordenado com todas as infra-estruturas de rede que encontramos.
Sim, os dados POST devem ser criptografados. Tudo na solicitação HTTP deve ser criptografado em uma conversa SSL. O Firebug obtém suas informações após os dados SSL terem sido descriptografados pelo navegador. Se você quiser garantir, use algo como Fiddler ou WebScarab como um proxy sentado no meio, embora você possa ter que jogar para fazê-los jogar bem com SSL. Veja uma página sobre como decriptografar o tráfego HTTPS usando o Fiddler.
Tags ssl encryption https