Безопасная аутентификация Google

Question

Мне нужно сделать запрос к одной из услуг Google. Я прочитал этот ответ: download csv from google insight for search
Скопированные и вставить код из этого вопроса:

using (var client = new WebClient()) 
    { 
     // TODO: put your real email and password in the request string 
     var response = client.DownloadString("https://www.google.com/accounts/ClientLogin?accountType=GOOGLE&Email=youraccount@gmail.com&Passwd=secret&service=trendspro&source=test-test-v1"); 
     // The SID is the first line in the response 
     var sid = response.Split('\n')[0]; 
     client.Headers.Add("Cookie", sid); 
     byte[] csv = client.DownloadData("http://www.google.com/insights/search/overviewReport?q=test&cmpt=q&content=1&export=2"); 

     // TODO: do something with the downloaded csv file: 
     Console.WriteLine(Encoding.UTF8.GetString(csv)); 
     File.WriteAllBytes("report.csv", csv); 
    } 

, и я хочу знать, является ли отправка пароля в строке является безопасным или это может быть захваченным?

Если это не защищено, как это сделать?

Answer 1

Поскольку он использует https (не простой HTTP), он должен быть примерно таким же безопасным, как и большинство других вещей, которые когда-либо могли быть в сети. Все данные, включая URL-адрес, перемещаются по зашифрованному каналу после установления базового соединения TLS.

Answer 2

Это одна из тех ситуаций, в которых «хорошие новости, плохие новости».

Хорошие новости: пароль не может быть захвачен перехватчиком (поскольку он передается через HTTPS: зашифрован).

Плохие новости: cookie сеанса может быть захвачен прослушивателем (потому что он отправляется по HTTP: не зашифрован). Как показал Firesheep, позволить кому-то получить доступ к вашему cookie сеанса Google опасно, так как он дает злоумышленнику доступ к вашей электронной почте и другому контенту, хранящемуся в Google.

Если вы можете изменить URL-адрес http на адрес https, это было бы безопаснее.