K's Atelier

個人的な学習記録

Security of the path and query parameters in HTTPS

Engineering

security - Are querystring parameters secure in HTTPS (HTTP + SSL)? - Stack Overflow

 

HTTPSは,SSL/TLSを使って暗号化を行っているので,パスパラメータやクエリパラメータが漏洩することは「通常であれば」ない。

ただし,経路末端でログを取っている場合はパラメータが記録されることはありうる。

また,ブラウザのアドレスバーや,場合によっては「ソースの表示」などをすることで分かると言えば分かるので,どこでどの程度のセキュリティを確保したいのかと合わせて対策が必要。

 

参考:

Access logs for your Application Load Balancer - Elastic Load Balancing

https 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188

192.168.131.39:2817 10.0.0.1:80 0.086 0.048 0.037 200 200 0 57

"GET https://www.example.com:443/ HTTP/1.1" "curl/7.46.0"

ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2

arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067

"Root=1-58337281-1d84f3d73c47ec4e58577259" "www.example.com"

"arn:aws:acm:us-east-2:123456789012:certificate/12345678-1234-1234-1234-123456789012"

1 2018-07-02T22:22:48.364000Z "authenticate,forward" "-" "-" "10.0.0.1:80"

"200" "-" "-"

この程度のログは,ELB上でも記録される。