我注意到我的银行发送了一个纯文本的POST响应到我的网站(http)(在一个商业交易已经启动和支付之后)。此响应包含事务的每个参数(卡号、签名等)。
这正常吗?
我计划使用POST方法(bank->server1->server2)将一些响应重路由到另一个服务器。不加密被认为是安全的吗?
如果对服务器的请求不安全(使用SSL, HTTPS),这意味着在服务器和劫持连接的发送者之间的任何人都可以读取信息。所以,从这个意义上说,答案是否定的。
但是,请注意,服务器和银行之间的连接不太容易发生劫持,而劫持通常发生在客户端和银行之间。只有与服务器所在的数据中心有关的人,在服务器上,或者以某种方式在同一连接上,才能计划(中间人)攻击。再详细说明一下:这是正常的吗?是的,经常发生。好吗?可能不会。
我肯定会保护你与其他服务器的连接。