Вчера у коллеги и у меня начались жаркие дебаты, можно ли безопасно отправлять учетные данные через параметры URL в качестве средства аутентификации. Он правильно указал, что HTTPS шифрует все символы без имени/порта в URL-адресе перед отправкой запроса на серверную сторону.
Тем не менее, я все еще думаю, что здесь есть краевые случаи, где можно украсть эти учетные данные и полагать, что их следует отправлять через POST HTTPS. Действительно ли это безопасное средство отправки данных входа/токена?