I dati POST sono crittografati su una connessione SSL?

14

Ho impostato il mio server Web per utilizzare SSL (sto usando WAMP per il mio scenario di gestione temporanea prima di spostarlo su server pubblici). Lo scopo del sito in questione è riuscito e sono in grado di utilizzare il sito da computer remoti utilizzando il protocollo HTTPS.

Una preoccupazione che è emersa da uno dei miei utenti (tester) riguardava i dati POST. Nel suo scenario di test, è sul posto presso uno dei nostri potenziali clienti, accedendo al sito dietro il loro firewall aziendale MOLTO esigente (abbiamo già scoperto come questo sito si applica al loro AUP e siamo puliti). Gestisce il sito in FireFox usando Firebug per monitorare i dati POST e GET. La domanda è qui:

Nella sua finestra di Firebug, il POST e la risposta da XMLHTTPRequest stanno tornando in chiaro. È perché è stato lui a iniziare la connessione sicura? I dati POST / Response verranno mostrati agli amministratori o ai registri della rete?

Tieni presente che l'intento qui non è ingannare gli amministratori o eludere le politiche; questa è un'applicazione destinata a persone sul posto in varie località che devono trasmettere dati sensibili. L'utilizzo sarà coordinato con ogni infrastruttura di rete che incontriamo.

ssl  https  encryption 
Honus Wagner
fonte
anche l'url e la querystring sono criptati
Neil McGuigan il
Come semplice test e uso corretto degli strumenti di sniffing, usa tshark / WireShark per filtrare in base a http.request.uri e vedi quando lavori con https non c'è niente da visualizzare. D'altra parte invia la stessa richiesta su http e vedi tutto.
Maziyar,

Risposte:

20

Sì, i dati POST devono essere crittografati. Tutto nella richiesta HTTP deve essere crittografato in una conversazione SSL. Firebug ottiene le sue informazioni dopo che i dati SSL sono stati decifrati dal browser. Se vuoi assicurarti, usa qualcosa come Fiddler o WebScarab come proxy nel mezzo, anche se potresti dover giocare per farli giocare bene con SSL. Ecco una pagina su come decodificare il traffico HTTPS usando Fiddler.

squillman
fonte
3
Se dubiti della crittografia, lancia Wireshark sul client e annusa il traffico.
Evan Anderson,
Ho controllato Fiddler e confrontato POSTS e GETS tra i dati HTTPS e HTTP e ho confermato che POSTS e GETS sono sicuri. Grazie!
Honus Wagner,
@Evan Cosa dovrei cercare su Wireshark?
Honus Wagner,
3
@Honus: stai cercando spazzatura :). Se i dati non sono crittografati, sarai in grado di vederli in Wireshark. Se è crittografato, vedrai i dati crittografati (non leggibili).
Sunny
1
@Honus: Wireshark è un analizzatore di pacchetti, quindi può / mostrerà tutti i pacchetti che attraversano il cavo. Hai la possibilità di vedere tutto il traffico di rete indipendentemente dai protocolli a livello di app. Ci sono filtri (incluso uno per HTTP) che ti consentono di restringere le cose per vedere più facilmente quello che stai cercando.
Squillman,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.