Configurei meu servidor Web para usar SSL (estou usando o WAMP no meu cenário de preparação antes de movê-lo para servidores públicos). O objetivo do site em questão foi bem-sucedido e eu posso usá-lo em computadores remotos usando o protocolo HTTPS.
Uma preocupação que surgiu com um dos meus usuários (testadores) foi em relação aos dados do POST. Em seu cenário de teste, ele está no local em um de nossos clientes em potencial, acessando o site por trás do firewall corporativo MUITO exigente (já descobrimos como esse site se aplica à sua AUP e estamos limpos). Ele está executando o site no FireFox usando o Firebug para monitorar os dados POST e GET. A questão está aqui:
Na janela do Firebug, o POST e a resposta do XMLHTTPRequest estão retornando em texto sem formatação. Isso é porque ele foi quem iniciou a conexão segura? Os dados do POST / Response aparecerão para os administradores ou logs da rede?
Observe que a intenção aqui não é enganar administradores ou burlar políticas; este é um aplicativo destinado a pessoas no local em vários locais que precisam transmitir dados confidenciais. O uso será coordenado com todas as infra-estruturas de rede que encontrarmos.
fonte
Respostas:
Sim, os dados do POST devem ser criptografados. Tudo na solicitação HTTP deve ser criptografado em uma conversa SSL. O Firebug obtém suas informações depois que os dados SSL foram descriptografados pelo navegador. Se você quiser garantir, use algo como o Fiddler ou o WebScarab como um proxy intermediário, embora possa ser necessário jogar jogos para que eles joguem bem com SSL. Aqui está uma página sobre como descriptografar o tráfego HTTPS usando o Fiddler.
fonte