Un utente malintenzionato può annusare i dati in un URL tramite HTTPS?

19

I dati inclusi in un URL possono essere considerati sicuri se la connessione viene stabilita tramite HTTPS? Ad esempio, se un utente fa clic su un collegamento in un'e-mail che punta a https://mysite.com?mysecretstring=1234 sarebbe possibile per un utente malintenzionato acquisire "mysecretstring" dall'URL?

security  https  url 
James Cadd
fonte

Risposte:

27

L'intera richiesta HTTP (e la risposta) è crittografata, incluso l'URL.

Sì, esiste un modo in cui un utente malintenzionato può acquisire l'URL completo: tramite l'intestazione Referer. Se è presente un file esterno (Javscript, CSS, ecc.) Che non è su HTTPS, è possibile annusare l'URL completo nell'intestazione Referer. Lo stesso se l'utente fa clic su un collegamento nella pagina che porta a una pagina HTTP (no SSL).

Inoltre, le richieste DNS non sono crittografate, quindi un utente malintenzionato potrebbe sapere che l'utente accederà a mysite.com.

Julien
fonte
Quando dici "l'URL completo", sono inclusi i parametri (ad esempio mysecretstring = 1234)?
sampablokuper,
Sull'intestazione del Referer, se i parametri sono nell'URL, è possibile vederlo
chmeee
1
quindi, non caricare immagini esterne, css, js. usa / archivia la stringa segreta e reindirizza internamente per eliminare la stringa segreta. dopodiché può utilizzare URL esterni.
Neil McGuigan,
14

No, possono vedere la connessione cioè mysite.com ma non il? Mysecretstring = 1234 l'https è da server a server

Chris
fonte
6
In realtà non possono nemmeno vedere a quale nome di dominio ti stai connettendo ma a quale indirizzo IP. Dal momento che i certificati SSL funzionano solo ragionevolmente su una relazione 1: 1 nome-dominio-indirizzo-IP, molto probabilmente è irrilevante. Anche se l'attaccante può fiutare il tuo traffico DNS, questo potrebbe essere rivelato. I parametri GET e POST sono sicuri quanto il traffico HTTPS: se si è il client e il certificato del server è valido e senza compromessi, i dati sono protetti contro intercettazioni da parte di terzi.
Paul,
0

Dovrebbero avere la chiave di crittografia. Teoricamente questo non è possibile ma qualsiasi buon attacco potrebbe. Questo è lo scopo di SSL per crittografare tutti i dati inviati da e verso il server per impedire di essere in grado di annusare.

Chris
fonte
0

Proteggi i tuoi blog o non scriverli nemmeno. Se si ottiene un exploit remoto in cui è possibile leggere i registri, tutti i dati URL saranno visibili nei registri.

I dati dei post non sono nei registri.
Ryaner,
tutto ciò dipende molto dalla configurazione =)
spacediver
-1

Solo se sono in grado di annusare l'autenticazione https attraverso una sorta di spoofing

Jimsmithkka
fonte
Intendi un attacco man-in-the-middle? Questo è più che sniffare, l'attaccante deve impersonare il server.
Julien,
bene è il MiM per la stretta di mano, ma dopo che sta solo annusando, lo strumento specifico è il criceto e il furetto che ho visto dimostrato
Jimsmithkka,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.