Les en-têtes de requête REST sont-ils cryptés par SSL?

Question

Je développe une application client / serveur qui communiquera via le repos. Certaines données de demande personnalisées seront stockées dans l'en-tête de la demande. Le serveur qui envoie la demande et le serveur de destination ont tous deux un certificat SSL. Les en-têtes seront-ils cryptés ou uniquement le contenu?

Answer 1

SSL crypte l'ensemble de la voie de communication de la part du client au serveur et à l'arrière, donc oui, - les en-têtes seront cryptées.

Par ailleurs, si vous développez des applications en réseau et se soucient de la sécurité des données et, le moins que vous devez faire est de lire un livre comme Pratique de la Cryptographie, par Niels Ferguson et Bruce Schneier, et probablement davantage de lecture qui est plus concentré sur la sécurité des applications web serait une bonne idée. Si je peut faire une observation - et s'il vous plaît, je ne dis pas ça comme une critique personnelle - votre question indique un manque fondamental de la compréhension de très web de base des technologies de sécurité, et qui n'est jamais bon signe.

Aussi, il n'est jamais une mauvaise idée de s'assurer que les données qui est supposé être chiffré est en effet chiffré. Vous pouvez utiliser un analyseur de réseau pour surveiller le trafic sur le fil et de regarder pour quelque chose de sensible, d'être envoyé en clair. J'ai utilisé Wireshark pour ce faire, avant - les résultats peuvent être surprenants, parfois.

Answer 2

Tant que vous communiquez dans le tunnel SSL, tout ce qui est envoyé entre le serveur et le client sera crypté. Le cryptage est effectué avant l'envoi ou la réception des données.

Answer 3

Les en-têtes et le contenu sont cryptés.

Answer 4

Vous avez l'air de penser que le REPOS est distinct du protocole.

Le REPOS n'est pas un protocole. C'est un style de conception pour HTTP applications basées sur.

Donc, votre une écriture d'une application HTTP. Les en-têtes crypté? Oui, si vous utilisez le protocole HTTPS (HTTP over SSL) au lieu de la plaine HTTP.

Avoir des certificats sur les deux côtés n'est pas directement pertinentes à votre question. Les certificats SSL sont utilisés pour l'authentification. Ils aident dans la détection de man-in-the-middle attaques sont possibles à l'aide d'empoisonnement de cache DNS.

Answer 5

Avoir un certificat ne suffit pas, vous devez configurer le serveur Web pour chiffrer les connexions (c'est-à-dire utiliser le certificat) pour ce domaine ou cet hôte virtuel. De plus, je pense que vous n’auriez besoin que d’un seul certificat, les réponses aux demandes seront toujours cryptées.

Et oui, les en-têtes HTTP sont cryptés ainsi que les données.