HTTPS でペイロードに平文パスワードを送信しても安全か¶
「HTTPS でユーザーパスワードを平文でペイロードに含めて送信しても安全か?」
答え: 通信路上は安全、ただし注意点あり¶
| 観点 | 内容 |
|---|---|
| 通信路のセキュリティ | TLS が確立されていれば、ペイロード(リクエストボディ)は暗号化される。中間者には見えない |
| サーバーサイドのリスク | 平文パスワードがサーバーに届いた後のログ・デバッグ出力に注意。ログにパスワードが記録されると危険 |
| ベストプラクティス | サーバーでパスワードを受け取ったらすぐハッシュ化(bcrypt/argon2)する。平文を DB に保存しない |
| HTTPS の前提 | 証明書が正しく検証されていることが必要。HSTS・証明書ピンニングで MITM を防ぐ |
正しい実装フロー¶
(図: SVG)