هل رؤوس HTTPS مشفرة؟
https://stackoverflow.com/questions/187655
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
عند إرسال البيانات عبر HTTPS، أعرف أن المحتوى مشفر، ومع ذلك أسمع إجابات مختلطة حول ما إذا كانت الرؤوس مشفرة، أو مقدار الرأس المشفر.
ما مقدار رؤوس HTTPS نكون مشفرة؟
بما في ذلك عناوين URL لطلبات GET/POST وملفات تعريف الارتباط وما إلى ذلك.
المحلول
ويتم تشفير كبيرة <سوب> † - كل الرؤوس. لهذا السبب لا يعمل SSL على vhosts جيدا - كنت في حاجة الى عنوان IP مخصص ليتم تشفير رأس المضيف
<سوب> † في المعيار اسم الخادم تحديد (SNI) يعني أن المضيف قد لا تكون مشفرة إذا كنت تستخدم TLS. أيضا، سواء كنت تستخدم SNI أم لا، يتم تشفير رؤوس TCP و IP أبدا. (إذا كانت كذلك، أن الحزم الخاصة بك لا يكون قابل للتوجيه.)
نصائح أخرى
الرؤوس مشفرة بالكامل.المعلومات الوحيدة التي تنتقل عبر الشبكة "بشكل واضح" تتعلق بإعداد SSL وتبادل مفاتيح D/H.تم تصميم هذا التبادل بعناية بحيث لا يقدم أي معلومات مفيدة للمتنصتين، وبمجرد حدوثه، يتم تشفير جميع البيانات.
وأضاف HTTP الإصدار 1.1 طريقة HTTP خاص، CONNECT - تهدف إلى إنشاء نفق SSL، بما في ذلك مصافحة بروتوكول اللازمة وإعداد التشفير
طلبات منتظمة بعد ذلك الحصول على جميع أرسلت ملفوفة في نفق SSL، ورؤوس والجسم شامل.
والجواب جديدة إلى السؤال القديم، آسف. اعتقدت أن أضم $ 0.02
وطلبت OP إذا تم تشفيرها رؤوس.
وهم: العابرة
.وهم NOT: عندما لا تكون قيد عبور
.وهكذا، URL في المتصفح (والعنوان، في بعض الحالات) يمكن عرض سلسلة استعلام مواقع المعلومات (والتي عادة ما تحتوي على التفاصيل الأكثر حساسية) وبعض التفاصيل في رأس. المتصفح يعرف بعض المعلومات رأس (نوع المحتوى، يونيكود، الخ)؛ ومتصفح التاريخ، وإدارة المرور، والمفضلة / الإشارات المرجعية، والصفحات المخبأة تحتوي على جميع سلسلة استعلام مواقع المعلومات. يمكن أن تحتوي سجلات الخادم على النهاية البعيدة أيضا سلسلة استعلام مواقع المعلومات، فضلا عن بعض تفاصيل المحتوى.
وأيضا، URL غير آمن دائما: المجال، والبروتوكول، وميناء مرئية - على خلاف أجهزة التوجيه لا يعرفون إلى أين ترسل طلباتك
.وأيضا، إذا كنت قد حصلت على وكيل HTTP، الملقم الوكيل يعرف عنوان، وعادة ما لا تعرف سلسلة استعلام مواقع المعلومات كاملة.
وحتى إذا كان يتحرك البيانات، انها محمية بشكل عام. إذا لم يكن في العبور، انها ليست مشفرة.
وليس لاختيار أحمق، ولكن البيانات في النهاية هو فك أيضا، ويمكن تحليل وقراءة وحفظ، توجيه، أو التخلص منها في الإرادة. و، والبرمجيات الخبيثة على حد سواء يمكن أن تأخذ لقطات من إدخال البيانات (أو الخروج) بروتوكول SSL - مثل (سيئة) جافا سكريبت داخل صفحة داخل HTTPS التي يمكن أن تجعل خلسة HTTP (أو https) يدعو إلى مواقع قطع الأشجار (منذ الوصول إلى طوة المحلية وغالبا ما المقيدة وغير مفيدة).
وأيضا، لا يتم تشفير الكوكيز بموجب بروتوكول HTTPS، إما. المطورين الراغبين في تخزين البيانات الحساسة في ملفات تعريف الارتباط (أو في أي مكان آخر في هذا الشأن) في حاجة إلى استخدام آلية التشفير الخاصة بهم.
وأما بالنسبة لذاكرة التخزين المؤقت، معظم المتصفحات الحديثة لن مؤقتا صفحات HTTPS، ولكن لم يتم تعريف هذه الحقيقة بواسطة بروتوكول HTTPS، أنها تعتمد كليا على المطور لمتصفح للتأكد من عدم تخزين صفحات وردت عن طريق HTTPS.
وحتى إذا كنت قلقا حول علبة استنشاق، وربما كنت بخير. ولكن إذا كنت قلقا حول البرامج الضارة أو أي شخص بدس من خلال تاريخكم، والعناوين، الكوكيز، أو ذاكرة التخزين المؤقت، أنت لست من الماء بعد.
ومع SSL التشفير هو في مستوى النقل، لذلك يحدث قبل إرسال الطلب.
ومشفرة لذلك كل شيء في الطلب.
وHTTPS (HTTP عبر SSL) يرسل كل محتوى HTTP على نفق SSL، إلى محتوى HTTP ويتم تشفير رؤوس كذلك.
نعم، يتم تشفير رؤوس. هو مكتوب هنا .
<اقتباس فقرة>ويتم تشفير كل شيء في رسالة HTTPS، بما في ذلك رؤوس، وتحميل طلب / استجابة.
ومشفرة أيضا URL، كنت حقا لا تملك إلا IP، ميناء وإذا SNI، اسم المضيف التي هي غير مشفرة.
