Nuova risposta alla vecchia domanda, scusa. Ho pensato di aggiungere i miei $ 0,02
L'OP ha chiesto se le intestazioni fossero crittografate.
Sono: in transito.
NON lo sono: quando non in transito.
Quindi, l'URL del browser (e il titolo, in alcuni casi) può visualizzare la stringa di query (che di solito contiene i dettagli più sensibili) e alcuni dettagli nell'intestazione; il browser conosce alcune informazioni di intestazione (tipo di contenuto, unicode, ecc.); e la cronologia del browser, la gestione delle password, i preferiti / i segnalibri e le pagine memorizzate nella cache conterranno tutte la stringa di query. I log del server sull'estremità remota possono anche contenere querystring e alcuni dettagli del contenuto.
Inoltre, l'URL non è sempre sicuro: il dominio, il protocollo e la porta sono visibili, altrimenti i router non sanno dove inviare le richieste.
Inoltre, se hai un proxy HTTP, il server proxy conosce l'indirizzo, di solito non conoscono la stringa di query completa.
Quindi, se i dati si spostano, sono generalmente protetti. Se non è in transito, non è crittografato.
Per non scegliere, ma anche i dati alla fine vengono decifrati e possono essere analizzati, letti, salvati, inoltrati o eliminati a piacimento. Inoltre, il malware alle due estremità può acquisire istantanee di dati che entrano (o escono) dal protocollo SSL - come Javascript (non valido) all'interno di una pagina all'interno di HTTPS che può effettuare surrettiziamente chiamate HTTP (o https) a siti Web di registrazione (dal momento che l'accesso al disco rigido locale è spesso limitato e non utile).
Inoltre, i cookie non sono crittografati nemmeno sotto il protocollo HTTPS. Gli sviluppatori che desiderano archiviare dati sensibili nei cookie (o in qualsiasi altro luogo) devono utilizzare il proprio meccanismo di crittografia.
Per quanto riguarda la cache, i browser più moderni non memorizzano nella cache le pagine HTTPS, ma questo fatto non è definito dal protocollo HTTPS, dipende interamente dallo sviluppatore di un browser per essere sicuri di non memorizzare nella cache le pagine ricevute tramite HTTPS.
Quindi, se sei preoccupato per lo sniffing dei pacchetti, probabilmente stai bene. Ma se sei preoccupato per il malware o qualcuno che ti fa scorrere la cronologia, i segnalibri, i cookie o la cache, non sei ancora fuori dall'acqua.