¿Están encriptados los encabezados HTTPS?
https://stackoverflow.com/questions/187655
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Al enviar datos a través de HTTPS, sé que el contenido está encriptado, sin embargo, escucho respuestas mixtas sobre si los encabezados están encriptados o cuánto del encabezado está encriptado.
¿Qué cantidad de encabezados HTTPS están encriptados?
Incluyendo URL de solicitud GET / POST, Cookies, etc.
Solución
Todo el lote está encriptado † : todos los encabezados. Es por eso que SSL en vhosts no funciona demasiado bien: necesita una dirección IP dedicada porque el encabezado Host está encriptado.
† El estándar de Identificación de nombre de servidor (SNI) significa que el nombre de host puede no estar encriptado si está utilizando TLS. Además, ya sea que esté utilizando SNI o no, los encabezados TCP e IP nunca se cifran. (Si lo fueran, sus paquetes no serían enrutables).
Otros consejos
Los encabezados están completamente encriptados. La única información que pasa por la red 'en claro' está relacionada con la configuración de SSL y el intercambio de claves D / H. Este intercambio está cuidadosamente diseñado para no proporcionar ninguna información útil a los espías, y una vez que ha tenido lugar, todos los datos se cifran.
HTTP versión 1.1 agregó un método HTTP especial, CONNECT, destinado a crear el túnel SSL, incluido el protocolo de enlace de protocolo y la configuración criptográfica necesarios.
A partir de entonces, las solicitudes regulares se envían envueltas en el túnel SSL, los encabezados y el cuerpo inclusive.
Nueva respuesta a la vieja pregunta, lo siento. Pensé en agregar mis $ .02
El OP preguntó si los encabezados estaban encriptados.
Están: en tránsito.
NO son: cuando no están en tránsito.
Por lo tanto, la URL de su navegador (y el título, en algunos casos) puede mostrar la cadena de consulta (que generalmente contiene los detalles más confidenciales) y algunos detalles en el encabezado; el navegador conoce cierta información de encabezado (tipo de contenido, unicode, etc.); y el historial del navegador, la administración de contraseñas, los favoritos / marcadores y las páginas en caché contendrán la cadena de consulta. Los registros del servidor en el extremo remoto también pueden contener cadenas de consulta, así como algunos detalles de contenido.
Además, la URL no siempre es segura: el dominio, el protocolo y el puerto son visibles; de lo contrario, los enrutadores no saben dónde enviar sus solicitudes.
Además, si tiene un proxy HTTP, el servidor proxy conoce la dirección, generalmente no conoce la cadena de consulta completa.
Entonces, si los datos se mueven, generalmente están protegidos. Si no está en tránsito, no está encriptado.
No es para seleccionar, pero los datos al final también se descifran y se pueden analizar, leer, guardar, reenviar o descartar a voluntad. Y, el malware en cualquier extremo puede tomar instantáneas de los datos que ingresan (o salen) del protocolo SSL, como Javascript (incorrecto) dentro de una página dentro de HTTPS que puede realizar subrepticiamente llamadas http (o https) a sitios web de registro (desde el acceso al disco duro local) a menudo está restringido y no es útil).
Además, las cookies tampoco están encriptadas bajo el protocolo HTTPS. Los desarrolladores que deseen almacenar datos confidenciales en cookies (o en cualquier otro lugar) deben usar su propio mecanismo de cifrado.
En cuanto a la memoria caché, la mayoría de los navegadores modernos no almacenarán en la memoria caché las páginas HTTPS, pero ese hecho no está definido por el protocolo HTTPS, depende completamente del desarrollador de un navegador para asegurarse de no almacenar en caché las páginas recibidas a través de HTTPS.
Entonces, si está preocupado por la detección de paquetes, probablemente esté bien. Pero si le preocupa el malware o alguien que está revisando su historial, marcadores, cookies o caché, aún no está fuera del agua.
Con SSL, el cifrado está en el nivel de transporte, por lo que se lleva a cabo antes de enviar una solicitud.
Entonces todo en la solicitud está encriptado.
HTTPS (HTTP sobre SSL) envía todo el contenido HTTP a través de un túnel SSL, al contenido HTTP y los encabezados también están encriptados.
Sí, los encabezados están encriptados. Está escrito aquí .
Todo en el mensaje HTTPS está encriptado, incluidos los encabezados y la carga de solicitud / respuesta.
la URL también está encriptada, realmente solo tiene la IP, el puerto y, si es SNI, el nombre de host que no está encriptado.
