Re: [androidbrasil-dev] Re: Duvida Webservice GET

Eu não falei que era uma boa ideia usar GET, eu falei que o que realmente proporciona segurança no HTTP é o SSL.

O uso do GET neste caso é errado por diversos motivos. Segurança não é uma delas.

Pra uma pessoa mal-intencionada com acesso à sua infraestrutura de rede (proxy, servidor http, etc), o método da requisição não facilita nem dificulta em nada um ataque.

2014-10-03 13:39 GMT-03:00 silvioprog <silvioprog@gmail.com>:

2014-10-03 13:16 GMT-03:00 Jonas Alves <jonasfa@gmail.com>:

Estar na query string não torna um dado mais ou menos seguro do que, por exemplo, o corpo de uma request Post.
O que torna esta requisição vulnerável é a falta de SSL.

É sim, mas usar GET para dados sensíveis é uma má ideia por vários motivos:

. Ataque via HTTP referer (https://eamann.com/tech/data-leakage/);

. As senhas serão salvas nos logs dos servidores;

. Caches de navegadores salvam URLs.

Dessa forma, mesmo quando querystring é seguro, não é recomentado trafegar dados sensíveis por ele.

--
Silvio Clécio
My public projects - github.com/silvioprog

--

You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--

+Jonas Alves

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.