Hallo TS,

Nein, er hat schon recht, mit Sicherheit hat das nichts zu tun. Aber es ging ja auch nicht um Sicherheit. Es ging um eine best practice (Schreib-Operationen nicht via GET) und deren Grund. Da mit Sicherheit zu argumentieren ist dann halt am Thema vorbei.

Ich bitte da mal um etweas Nachhilfe. Darf auch gerne ein wenig ausführlicher sein ;-)
Ist das wirklich so? Hat es überhaupt nichts mit Sicherheit zu tun?

Die best practice ist, dass man Schreiboperationen nicht mit GET-Requests abhandelt, weil sonst Bots und Software (etwa Browser mit prefetch) den Links folgen.

Nein, das hat nichts mit Sicherheit zu tun. Die Ressource kann ja sogar frei für jedermann und jederfrau zugänglich sein, sogar - shocking! - ohne HTTPS 😉

Wie ist das bei https und SNI? Ist der GET-Request-String da trotzdem schon verschlüsselt, auch beim initialen Aufruf der Ressource?

Das betrachtet andere Aspekte und hat nichts mit der genannten best practice zu tun.

Aber ich kann dir das gerne trotzdem beantworten: SNI ist ein Teil des TLS-Handshakes und ist in der Protokoll-Ebene unter HTTP. Der Query-String ist nicht Teil der Verhandlung, nur und ausschließlich der hostname ist Teil des Handshakes. Erst wenn der TLS-Handshake abgeschlossen ist, kommt HTTP zum Zuge.

LG,
CK