Насколько безопасны query-параметры при использовании HTTPS?

Question

HTTPS шифрует данные при передаче по сети, но не делает query-параметры полностью безопасными. Они остаются видимыми в URL браузера, истории и логах серверов. Query могут попасть в аналитические системы и логи прокси. Поэтому HTTPS не отменяет риски утечки через URL. Для чувствительных данных query-параметры использовать не стоит.

YeaHub · Accepted Answer

HTTPS часто воспринимают как «полную защиту», но это не совсем так.Что именно защищает HTTPSHTTPS:шифрует данные при передаче по сетизащищает от перехвата трафикагарантирует целостность запросаЭто означает, что злоумышленник не увидит содержимое запроса «по дороге».Где query-параметры остаются уязвимымиДаже при HTTPS query-параметры:Видны клиентуотображаются в адресной строкесохраняются в истории браузераПопадают в логисерверные access-логипрокси и балансировщикисистемы аналитикиМогут быть расшареныкопирование ссылкиреферальные заголовкиЧто можно передавать через queryQuery-параметры подходят для:фильтровсортировкипагинациипубличных идентификаторовНо не подходят для:токеновпаролейперсональных данныхВыводHTTPS защищает канал передачи, но не способ хранения и распространения URL. Query-параметры остаются потенциальным источником утечек.