Un utente malintenzionato può annusare i dati in un URL tramite HTTPS?


19

I dati inclusi in un URL possono essere considerati sicuri se la connessione viene stabilita tramite HTTPS? Ad esempio, se un utente fa clic su un collegamento in un'e-mail che punta a https://mysite.com?mysecretstring=1234 sarebbe possibile per un utente malintenzionato acquisire "mysecretstring" dall'URL?

Risposte:


27

L'intera richiesta HTTP (e la risposta) è crittografata, incluso l'URL.

Sì, esiste un modo in cui un utente malintenzionato può acquisire l'URL completo: tramite l'intestazione Referer. Se è presente un file esterno (Javscript, CSS, ecc.) Che non è su HTTPS, è possibile annusare l'URL completo nell'intestazione Referer. Lo stesso se l'utente fa clic su un collegamento nella pagina che porta a una pagina HTTP (no SSL).

Inoltre, le richieste DNS non sono crittografate, quindi un utente malintenzionato potrebbe sapere che l'utente accederà a mysite.com.


Quando dici "l'URL completo", sono inclusi i parametri (ad esempio mysecretstring = 1234)?
sampablokuper,

Sull'intestazione del Referer, se i parametri sono nell'URL, è possibile vederlo
chmeee

1
quindi, non caricare immagini esterne, css, js. usa / archivia la stringa segreta e reindirizza internamente per eliminare la stringa segreta. dopodiché può utilizzare URL esterni.
Neil McGuigan,

14

No, possono vedere la connessione cioè mysite.com ma non il? Mysecretstring = 1234 l'https è da server a server


6
In realtà non possono nemmeno vedere a quale nome di dominio ti stai connettendo ma a quale indirizzo IP. Dal momento che i certificati SSL funzionano solo ragionevolmente su una relazione 1: 1 nome-dominio-indirizzo-IP, molto probabilmente è irrilevante. Anche se l'attaccante può fiutare il tuo traffico DNS, questo potrebbe essere rivelato. I parametri GET e POST sono sicuri quanto il traffico HTTPS: se si è il client e il certificato del server è valido e senza compromessi, i dati sono protetti contro intercettazioni da parte di terzi.
Paul,

0

Dovrebbero avere la chiave di crittografia. Teoricamente questo non è possibile ma qualsiasi buon attacco potrebbe. Questo è lo scopo di SSL per crittografare tutti i dati inviati da e verso il server per impedire di essere in grado di annusare.


0

Proteggi i tuoi blog o non scriverli nemmeno. Se si ottiene un exploit remoto in cui è possibile leggere i registri, tutti i dati URL saranno visibili nei registri.


I dati dei post non sono nei registri.
Ryaner,

tutto ciò dipende molto dalla configurazione =)
spacediver

-1

Solo se sono in grado di annusare l'autenticazione https attraverso una sorta di spoofing


Intendi un attacco man-in-the-middle? Questo è più che sniffare, l'attaccante deve impersonare il server.
Julien,

bene è il MiM per la stretta di mano, ma dopo che sta solo annusando, lo strumento specifico è il criceto e il furetto che ho visto dimostrato
Jimsmithkka,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.