Ar užšifruoti HTTPS antraštės?

Kai siunčiu duomenis per HTTPS, žinau, kad turinys yra užšifruotas, bet girdžiu mišrius atsakymus apie tai, ar antraštės yra užšifruotos, ar kokią antraštės dalį užšifruoja.

Kiek šifruotų HTTPS antraštių?

Apima GET / POST užklausos URL, slapukus ir kt.

407
09 окт. nustatė Dan Herbert 09 okt. 2008-10-09 18:00 '08, 18.00 val. 2008-10-09 18:00
@ 8 atsakymai

Visa partija yra šifruota - visos antraštės. Štai kodėl SSL ant vhosts neveikia pernelyg gerai - jums reikalingas specialus IP adresas, nes šeimininko antraštė yra užšifruota.

Serverio identifikavimo standartas (SNI) reiškia, kad, jei naudojate TLS, kompiuterio pavadinimas negali būti užšifruotas. Be to, jei naudojate SNI arba ne, TCP ir IP antraštės niekada nėra užšifruotos. (Jei jie buvo, jūsų paketai nebus nukreipiami.)

382
09 окт. atsakymas, kurį pateikė Greg 09 okt. 2008-10-09 18:04 '08, 18:04, 2008-10-09 18:04

Antraštės yra visiškai užšifruotos. Vienintelė „aiškumo“ tinkle perduodama informacija susijusi su SSL ir D / H raktų mainų nustatymu. Šis keitimas yra kruopščiai suprojektuotas taip, kad nesuteiktų jokios naudingos informacijos klausymo įrenginiams, o kai tai įvyktų, visi duomenys yra užšifruoti.

border=0
76
09 окт. atsakymas pateikiamas mdb 09 okt. 2008-10-09 18:05 '08 18:05 pm 2008-10-09 18:05

HTTP versija 1.1 pridėjo specialų HTTP metodą CONNECT, skirtą sukurti SSL tunelį, įskaitant būtiną protokolo rankų paspaudimą ir kriptografinę konfigūraciją.
Po to reguliarūs prašymai siunčiami į SSL tunelį, antraštes ir kūno dalis.

42
10 окт. AviD atsakė spalio 10 dieną. 2008-10-10 01:11 '08, 1:11 val. 2008-10-10 01:11

Naujas atsakymas į senąjį klausimą, atsiprašau. Maniau, kad pridėsiu $ .02

OP paklausė, ar antraštės buvo užšifruotos.

Jie yra: kelyje.

Jie NE: kai ne kelyje.

Taigi, naršyklės URL (ir antraštė, kai kuriais atvejais) gali rodyti užklausą (kuri paprastai turi svarbiausius duomenis) ir kai kurias detales antraštėje; naršyklė žino tam tikrą antraštės informaciją (turinio tipą, unikodą ir tt); Naršyklės istorijoje, slaptažodžių valdyme, parankiniuose / žymėse ir talpyklose saugomuose puslapiuose bus užklausa. Nuotoliniame gale esantys serverio žurnalai taip pat gali turėti užklausų seką ir kai kurias turinio detales.

Be to, URL ne visada yra saugus: domenas, protokolas ir prievadas yra matomi - kitaip maršrutizatoriai nežino, kur siųsti užklausas.

Be to, jei turite HTTP proxy, tarpinis serveris žino adresą, paprastai jis nežino viso prašymo.

Taigi, jei duomenys yra perkelti, jis paprastai yra apsaugotas. Jei jis nėra kelyje, jis nėra užšifruotas.

Nepasirinkite, tačiau duomenys gale taip pat yra iššifruoti ir gali būti analizuojami, skaityti, saugoti, išsiųsti arba ištrinti. Ir kenkėjiškos programos iš abiejų galų gali užfiksuoti SSL (arba blogo) „HTLPS“ puslapyje esančio (pvz., Blogo) „JavaScript“ duomenų, kurie gali slaptai atlikti „http“ (arba „https“) skambučius tinklalapių žurnalams (nes vietinis standusis diskas dažnai yra ribotas ir nėra naudingas).

Be to, slapukai taip pat nėra užšifruoti pagal HTTPS protokolą. Kūrėjai, norintys saugoti slaptus duomenis slapukuose (ar kitur šiuo atveju), turėtų naudoti savo šifravimo mechanizmą.

Kalbant apie talpyklą, dauguma šiuolaikinių naršyklių neišsaugos HTTPS puslapių, tačiau šis faktas nėra nustatomas pagal HTTPS protokolą, jis visiškai priklauso nuo to, ar naršyklės kūrėjas neišsaugo HTTPS gautų puslapių.

Taigi, jei esate susirūpinę dėl šnipinėjimo paketų, tikriausiai gerai. Bet jei nerimaujate dėl kenkėjiškų programų arba kad kažkas slenka per jūsų istoriją, žymes, slapukus ar talpyklą, jūs nepalikote vandens.

40
22 июля '15 в 16:48 2015-07-22 16:48 atsakymą pateikė Wigwam , liepos 22 d. 15, 16:48 2015-07-22 16:48

SSL šifravimas yra transporto lygmeniu, todėl jis daromas prieš išsiųsdami užklausą.

Taigi, viskas užklausoje yra užšifruota.

37
09 окт. atsakymas, kurį pateikė blowdart Oct 09 2008-10-09 18:05 '08 18:05 pm 2008-10-09 18:05

HTTPS (HTTP per SSL) siunčia visą HTTP turinį per SSL tunelį, todėl HTTP turinys ir antraštės taip pat yra užšifruoti.

29
09 окт. atsakymas pateikiamas CMS 09 okt. 2008-10-09 18:10 '08, 6:10 pm, 2008-10-09 18:10

Taip, antraštės yra užšifruotos. Čia parašyta.

Viskas, kas HTTPS pranešime yra užšifruota, įskaitant antraštes ir užklausos / atsako atsisiuntimą.

11
18 февр. atsakymas į suteiktą klavišą 18 Vas 2016-02-18 16:23 '16, 16:23 pm 2016-02-18 16:23

URL taip pat yra užšifruotas, iš tikrųjų turite tik IP adresą, prievadą ir SNI, kuris nėra šifruojamas.

5
21 нояб. atsakymas pateikiamas xxiao lapkričio 21 d. 2015-11-21 08:25 '15, 8:25 am 2015-11-21 08:25

Kiti klausimai apie žymes arba Užduoti klausimą