Ar yra užšifruoti HTTPS URL?

Ar visi šifruoti URL naudojami naudojant TLS / SSL (HTTPS) šifravimą? Norėčiau sužinoti, nes noriu, kad naudojant TLS / SSL (HTTPS) visi URL duomenys būtų paslėpti.

Jei TLS / SSL suteikia pilną URL šifravimą, nereikia nerimauti dėl slaptos informacijos paslėpimo iš URL.

832
01 февр. vasario 01 d. 2009-02-01 00:15 '09 ne 0:15 2009-02-01 00:15
@ 14 atsakymų

Taip, SSL ryšys yra tarp TCP lygio ir HTTP lygio. Klientas ir serveris pirmiausia sukuria saugų šifruotą TCP ryšį (per SSL / TLS), o tada klientas siunčia HTTP užklausą (GET, POST, DELETE ...) per šį užšifruotą TCP ryšį.

767
01 февр. Atsakymą pateikė Marc Novakowski 01 vasaris. 2009-02-01 00:17 '09 ne 0:17 2009-02-01 00:17

Kadangi niekas nepažeidė vielos, čia yra vienas.
Serverio pavadinimas (URL domeno dalis) pateikiamas „ ClientHello pakete paprastu tekstu .

Žemiau pateikiamas naršyklės prašymas:
https://i.stack.imgur.com/path/?some=parameters>

2019

02 авг. atsakymas pateikiamas evilSnobu 02 rug . 2016-08-02 21:26 '16 at 21:26 2016-08-02 21:26

Kaip jau nurodyta kituose atsakymuose , https „URL“ yra tikrai užšifruotas. Tačiau jūsų DNS užklausa / atsakymas, kai išsprendžiate domeno vardą, tikriausiai nėra, ir, žinoma, jei naudojate naršyklę, jūsų URL taip pat galima įrašyti.

143
01 февр. Atsakymas pateikiamas Zach Scrivena 01 vasario mėn. 2009-02-01 00:26 '09 at 0:26 AM 2009-02-01 00:26

Visas prašymas ir atsakymas yra užšifruoti, įskaitant URL.

Atkreipkite dėmesį, kad naudojant HTTP proxy, jis žino tikslinio serverio adresą (domeną), bet nežino prašomo kelio šiame serveryje (t. Y. Užklausa ir atsakymas visada yra užšifruoti).

97
01 февр. Atsakymą pateikė Peter Štibraný 01 vasaris. 2009-02-01 00:17 '09 ne 0:17 2009-02-01 00:17

Sutinku su ankstesniais atsakymais:

Kad būtų aišku:

Naudojant TLS pirmoji URL dalis ( https://www.example.com/ ) vis dar rodoma, kai ji sukuria ryšį. Antroji dalis (/ herearemygetparameters / 1/2/3/4) yra apsaugota TLS.

Tačiau yra keletas priežasčių, kodėl neturėtumėte nurodyti parametrų GET užklausoje.

Pirma, kaip minėjo kiti: - nutekėjimas per naršyklės adreso juostą - nutekėjimas per istoriją

Be to, URL nukreipiamas per HTTP referentą: vartotojas mato TLS svetainę A, tada spustelėja nuorodą į svetainę B. Jei abi svetainės yra TLS, svetainės B užklausoje bus visas URL iš svetainės A nuorodos užklausos parametras. Ir svetainės B administratorius gali jį išgauti iš serverio B žurnalo failų.)

86
28 июля '13 в 9:49 2013-07-28 09:49 atsakymas duotas Tobiasui liepos 28 d., 13 val. 9:49 2013-07-28 09:49

Be naudingo Marko Novakovskio atsakymo, URL saugomas serverio žurnaluose (pvz., / Etc / httpd / logs / ssl _access_log), todėl, jei nenorite, kad serveris ilguoju laikotarpiu išsaugotų informaciją, nedėkite jo URL.

46
02 нояб. Atsakymas pateikiamas Rhodri Cusack 02 lapkričio. 2010-11-02 17:03 '10, 17:03, 2010-11-02 17:03

Ir taip ir ne.

Dalis serverio adreso NE šifruojama, nes ji naudojama ryšiui konfigūruoti.

Tai gali pasikeisti ateityje su šifruotu SNI ir DNS, tačiau nuo 2018 m. Abi technologijos nėra plačiai naudojamos.

Kelias, užklausos eilutė ir kt. Šifruotas.

Pastaba dėl GET užklausų, kad vartotojas vis tiek galės iškirpti ir įklijuoti URL adresą iš adreso juostos, ir tikriausiai nenorite, kad ten būtų konfidencialios informacijos, kurią matys kiekvienas, kuris žiūri į ekraną.

23
01 февр. Atsakymą pateikė SoapBox 01 Feb. 2009-02-01 00:20 '09 ne 0:20 2009-02-01 00:20

Trečiosios šalies grupė, kuri stebi srautą, taip pat gali nustatyti lankomą puslapį, išnagrinėdamas jūsų srautą, lygindama jį su srautu, kurį kitas vartotojas lanko apsilankydamas svetainėje. Pavyzdžiui, jei svetainėje yra tik 2 puslapiai, vienas yra daug didesnis nei kitas, tada duomenų perdavimo dydžio palyginimas parodys, kurį puslapį lankėtės. Yra būdų, kaip tai gali būti paslėpta trečiųjų šalių kūrėjams, tačiau jie nėra įprastas veikimo būdas su serveriu ar naršykle. Žr., Pavyzdžiui, šį straipsnį iš SciRate, https://scirate.com/arxiv/1403.0297 .

Apskritai kiti atsakymai yra teisingi, nors šiame straipsnyje matyti, kad aplankyti puslapiai (pvz., URL) gali būti nustatyti gana veiksmingai.

8
14 авг. atsakymas suteiktas pbhj 14 rug . 2015-08-14 19:03 '15, 19:03, 2015-08-14 19:03

Ne visada galite pasikliauti viso URL privatumu. Pavyzdžiui, kaip kartais yra įmonių tinkluose, tiekiami įrenginiai, pvz., Jūsų kompanijos kompiuteris, yra sukonfigūruoti papildomu „patikimu“ šakniniu sertifikatu, kad jūsų naršyklė galėtų saugiai pasitikėti eismo tikrinimo (https) tarpiniu serveriu (asmeniu viduryje). Visas URL peržiūrai. Tai paprastai saugoma žurnale.

Be to, jūsų slaptažodžiai taip pat rodomi ir gali būti užregistruoti. Tai dar viena priežastis, kodėl reikia naudoti vienkartinius slaptažodžius arba dažnai keisti slaptažodžius.

Galiausiai taip pat rodomas užklausos ir atsakymo turinys, nebent būtų užšifruota kitaip.

Vienas patikrinimo nustatymo pavyzdys čia aprašytas „ Checkpoint“ . Taip pat galite nustatyti seną „interneto kavinę“ naudodami pateiktą kompiuterį.

4
17 нояб. atsakymą pateikė Don Gillis lapkričio 17 d 2016-11-17 05:49 '16 at 5:49 2016-11-17 05:49

Nuoroda į mano atsakymą į pasikartojantį klausimą . URL yra prieinamas ne tik naršyklių istorijoje, bet ir kaip HTTP nuorodos antraštė, kuri, jei naudojate trečiosios šalies turinį, suteikia URL šaltiniams, kurie nepriklauso jūsų kontrolei.

3
15 апр. JoshBerke atsakymą pateikė balandžio 15 d 2016-04-15 18:28 '16 at 18:28 2016-04-15 18:28

Dabar tai yra 2019 m., Ir buvo paleistas TLS v1.3. Pagal „cloudflare“, SNI gali būti užšifruota dėka TLS v1.3. Taigi, aš pasakiau puikiai! Pažiūrėkime, kaip atrodo, kad TCP paketuose „cloudflare.com“ paketai „Cloudflare“ serverio atsakyme sugriebau paketą „hello client“. Aš vis dar galiu perskaityti serverio pavadinimą paprastu tekstu.

2019

25 янв. atsakymą pateikė Nicolas Guérinet . 2019-01-25 01:47 '19 at 1:47 2019-01-25 01:47

Nors čia jau yra gerų atsakymų, dauguma jų yra orientuotos į naršyklę. Rašau tai 2018 m., O gal kas nors nori sužinoti apie mobiliųjų programų saugumą.

Jei naudojate mobiliojo ryšio programas , valdote abu programos (serverio ir programos) galus, jei naudojate HTTPS, esate apsaugoti . „iOS“ arba „Android“ patikrins sertifikatą ir sumažins galimus „MiM“ išpuolius (tai bus vienintelis silpnas taškas visose tai). Naudodami HTTPS ryšius, galite siųsti slaptus duomenis, kurie bus užšifruoti transportavimo metu . Tiesiog jūsų programa ir serveris žinos visus parametrus, siunčiamus per https.

Vienintelis „galimas“ čia būtų, jei klientas arba serveris yra užkrėstas kenkėjiška programine įranga, kuri gali matyti duomenis prieš ją supakuojant į https. Tačiau, jei kas nors užsikrėtė tokia programine įranga, jie turės prieigą prie duomenų, nesvarbu, ką naudosite jį transportuojant.

1
03 авг. Atsakymas, kurį pateikė Ricardo BRGWeb 03 rug. 2018-08-03 03:08 '18 at 3:08 2018-08-03 03:08

Be to, jei sukuriate „ReSTful“ API, naršyklės nutekėjimas ir „http“ persiuntėjas dažniausiai yra minimalizuoti, nes klientas gali būti ne naršyklė, o jūs negalite spustelėti nuorodų.

Jei taip, aš norėčiau rekomenduoti oAuth2 prisijungti, kad gautumėte atpažinimo ženklą. Tokiu atveju vieninteliai konfidencialūs duomenys bus originalūs įgaliojimai ... kurie turėtų būti bet kuriuo atveju po prašymo.

1
22 авг. Chris Rutledge atsakymas rugpjūčio 22 d 2018-08-22 11:03 '18, 11:03, 2018-08-22 11:03

Kol neprisijungsite prie serverio, beje, GET naudojamas tik 'name' , kurį gausite (ne duomenų siuntimui), turite siųsti POST .

-10
20 мая '14 в 1:23 2014-05-20 01:23 Atsakymas duodamas serginhofogo gegužės 20 d. 14 d. 1:23 2014-05-20 01:23