我们酒店的管家使用物业管理系统的网络仪表板来跟踪哪些房间需要清洁。该应用程序由加拿大的一家公司管理,并在旧服务器上运行prem。前几天我注意到,当你登录时,用户名和密码在URL中显示为明文。搜索堆栈溢出,我的担忧得到了验证,我了解到他们在应该使用POST的时候使用了GET请求。
我把我的调查结果告诉了公司,他们似乎并不担心。他们说,这可以通过安装SSL证书来解决。我不相信,我认为这只会加强从网络服务器到浏览器的安全性,但凭据仍然会出现在URL和浏览器历史记录中,对吧?
我的直觉是SSL证书不会解决问题的根本原因,但我还没有得到足够的信息来明确地说
谢谢!
使用SSL证书:
- 服务器名称未加密
- URL参数作为TLS的一部分进行加密
但是,浏览器历史记录将存储URL及其参数。