<div dir="ltr">Upstream proxies only have visibility over the network information (hostname, IP and port, etc.) for HTTPS connections.  That is, if they're not acting as MITM proxies on purpose or not.<div><br></div><div>

Regards,</div><div>Ray</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jan 29, 2013 at 5:07 AM, Glenn Pierce <span dir="ltr"><<a href="mailto:glennpierce@gmail.com" target="_blank">glennpierce@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks for the good ideas everyone. I have a few things to think about.<div><br></div><div>When accessing through https what will upstream proxies log ? Just the encrypted url right ?</div>

</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra">

<br><br><div class="gmail_quote">On 28 January 2013 09:13, Glenn Pierce <span dir="ltr"><<a href="mailto:glennpierce@gmail.com" target="_blank">glennpierce@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div dir="ltr"><div style="font-family:arial,sans-serif;font-size:13px">Hi I like to have opinions on the security of logging into a website</div><div style="font-family:arial,sans-serif;font-size:13px">with just a uid </div>




<div style="font-family:arial,sans-serif;font-size:13px">ie</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px"><a href="https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2" target="_blank">https://someserver.com/login/a4337bc45a8fc544c03f52dc550cd6e1e87021bc896588bd79e901e2</a></div>




<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I have inherited a system that provides a login for tablets which login in this manner.</div><div style="font-family:arial,sans-serif;font-size:13px">




(It needs an automated login for the tablets)</div><div style="font-family:arial,sans-serif;font-size:13px">Obviously the url in required to be encrypted by always requiring https.</div><div style="font-family:arial,sans-serif;font-size:13px">




<br></div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">We often provide one time tokens like this when someone has forgotten their password.</div>




<div style="font-family:arial,sans-serif;font-size:13px">But why not allow this to be a permanent login ?</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">




Why is requiring a uid like above worst than a username,password ?  </div><div style="font-family:arial,sans-serif;font-size:13px">I believe I am missing something stupid as you would see more of this kind of thing.</div>




<div style="font-family:arial,sans-serif;font-size:13px">That makes be nervous.</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Thanks for any feedback.</div>




</div>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
The Web Security Mailing List<br>
<br>
WebSecurity RSS Feed<br>
<a href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br>
<br>
Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br>
<br>
WASC on Twitter<br>
<a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br>
<br>
<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
<br></blockquote></div><br></div>