我最初是在调查这篇报告（https://www.stedi.com/blog/postman-is-probably-not-hipaa-compliant），内容是Postman可能不符合HIPAA标准。我发现Postman不仅根本不适合任何人测试医疗应用程序，它几乎完全不考虑任何用户的隐私，并且可能记录了你曾经给它的每一个秘密字符串。因此，它几乎完全忽略了所有用户的隐私。

没有Charles Proxy，这项调查是不可能（或不会如此轻松）完成的。它的终身许可证只需50美元，非常划算——在你读完这篇文章后，如果你取消了Postman每月49美元的企业座位，请考虑通过购买许可证来支持这位真正有道德的软件开发者，即使只是为了验证我的发现也行。

你首先会注意到的是，Postman 会记录下 很多东西。在你开始使用应用之前，已有成百上千个网络请求被发送到一整套分析工具和第三方集成中。

这在现代软件中其实相当常见，往往遵循“日志一切”的理念。

为了检查流向Postman端点的加密数据流，您需要做的是启用SSL代理功能并绕过证书绑定机制。

一旦你设好了一个伪造的根证书，你就能开始看到发送到Postman服务器的解密数据包。

这太容易找到了，我真的很惊讶别人没有对此大惊小怪一番。如果我设置一个环境变量为“secret”，它可能对团队其他成员不可见，但它肯定会被记录在发送到Postman的日志中。

无论你是否将环境变量标记为秘密都无关紧要——Postman 会通过 resolvedRequestUrl（解析后的请求URL）字符串捕获它，这个字符串捕获了插入秘密变量后的 URL 字符串状态。

Postman UI 弹出一个带有粗体声明的提示框，声称变量是“保护敏感数据”的一种方法——如果我的“敏感数据”实际上是以明文形式发送到您的日志中，那么这明显是个谎言。

为了更准确地说明这里的问题：

• 如果我创建了一个秘密字符串，我不希望你把它发送到公司的服务器上。我觉得这并不是过分的要求。
• 虽然看起来你们做了些努力来避免记录头部信息，但 PHI 和敏感数据有可能通过 URL 和查询参数的记录出现在 Postman（一个数据请求工具）日志中。

至少将以下内容添加到你的 /etc/hosts 文件中，这样记录你秘密的分析端点就停止接收这些数据。

    127.0.0.1 bifrost-https-v4.gw.postman.com  
    127.0.0.1 bifrost-v4-global.gw.postman.com

为什么软件开发者没有类似的誓言？Postman可能不是唯一将你的未加密字符串存放在未加密位置的工具。

如果我遵守誓言，愿我一生及其技艺永远受到大家的赞美；如果我背弃誓言，愿相反的下场降临在我身上。