TwitterなどのAPIトークン認証でトークンの内容をGETリクエストのパラメータに含めるのは安全なのでしょうか？

TwitterやFacebookのAPI認証を見てみると、まず認証のために
https://api.twitter.com/auth?access_token=xxxxxxx
(URLは適当です）
のようなURLにリクエストを送ると思います。
https(SSL)だしGETリクエストのパラメータも暗号化されるのかな？と思ったのですがどうもそうではないようです。

TwitterやFacebookがやっているので何か安全である根拠があると思うのですがどうしてこの方法を採用しているのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

https(SSL)だしGETリクエストのパラメータも暗号化されるのかな？

証明書とCAが正しければ、暗号化された状態で送信されるので途中経路での盗聴及び改竄は防げます。

と思ったのですがどうもそうではないようです。

の確認の仕方か認識に齟齬があったのだと思いますよ。

投稿2016/06/30 01:17

tanat

総合スコア18713

jimyo

2016/06/30 01:21

ありがとうございます。 http://qa.atmarkit.co.jp/q/323/ このサイトにおいて「HTTP Proxyを通した際のログなどにURLの一部として記録されてしまったりとセキュリティ的には薦められたものではないのは確かではないでしょうか。」と述べられています。POSTではなくGETを使うメリットはあるのでしょうか？

syuilo

2016/06/30 02:05

GETを使うメリットは無いので、全てPOSTで統一しているWebサービスなどもあります。

tanat

2016/06/30 02:16 編集

Proxyを通したときにURLの一部として記録されるケースは、 ProxyがMan-in-the-middle的な挙動をし、クライアントがそれを信頼する場合に限られるます。これは社内からインターネットに出る際にプロキシを経由する必要があって、管理者が通信の内容まで監視しないといけないようなケースがこれにあたります。同じ記事のコメントに > 試しに Linux の tcpdump で通信内容を capture してみましたが、GET .... という部分まで暗号されているように見受けられます。（きちんとした回答でなくて申し訳ないですが）とあって、これが正確な挙動です。それとは別にPOSTでは無くてGETを使う理由としては、（おそらく、確信も根拠も特にないですが）多くのプログラム言語でHTTPリクエストを扱うときにちょっと楽だからくらいの理由なんじゃないかなと思います。

行動規範の内容に同意します