HTTPS 헤더가 암호화되어 있습니까?
https://stackoverflow.com/questions/187655
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
HTTPS를 통해 데이터를 보낼 때 콘텐츠가 암호화되어 있음을 알고 있지만 헤더가 암호화되어 있는지 또는 헤더가 암호화되는지에 대한 혼합 답변을 들었습니다.
HTTPS 헤더의 양 ~이다 암호화?
get/post 요청 URL, 쿠키 등을 포함하여
해결책
전체 로트가 암호화됩니다† - 모든 헤더. 그렇기 때문에 Vhosts의 SSL이 잘 작동하지 않는 이유입니다. 호스트 헤더가 암호화되었으므로 전용 IP 주소가 필요합니다.
†서버 이름 식별 (SNI) 표준은 TLS를 사용하는 경우 호스트 이름이 암호화되지 않을 수 있음을 의미합니다. 또한 SNI를 사용하든 아니든 TCP 및 IP 헤더는 절대로 암호화되지 않습니다. (만약 그렇다면, 당신의 패킷은 경로가 길지 않을 것입니다.)
다른 팁
헤더는 완전히 암호화됩니다. 'Clear'에서 네트워크를 넘어선 유일한 정보는 SSL 설정 및 D/H 키 교환과 관련이 있습니다. 이 교환은 도청 자에게 유용한 정보를 얻지 않도록 신중하게 설계되었으며 일단 발생하면 모든 데이터가 암호화됩니다.
HTTP 버전 1.1은 필요한 프로토콜 핸드 셰이크 및 암호화 설정을 포함하여 SSL 터널을 만들기위한 특수 HTTP 방법 인 Connect를 추가했습니다.
그 후 정기적 인 요청은 모두 SSL 터널, 헤더 및 바디 포괄으로 포장됩니다.
오래된 질문에 대한 새로운 대답, 죄송합니다. $ .02를 추가 할 것이라고 생각했습니다
OP는 헤더가 암호화되었는지 물었다.
그들은 : 운송 중입니다.
그들은 그렇지 않습니다 : 운송 중이 아닌 경우.
따라서 브라우저의 URL (및 제목, 경우에 따라)은 쿼리 스트링 (일반적으로 가장 민감한 세부 사항이 포함 된)과 헤더에 일부 세부 사항을 표시 할 수 있습니다. 브라우저는 일부 헤더 정보 (콘텐츠 유형, 유니 코드 등)를 알고 있습니다. 브라우저 기록, 암호 관리, 즐겨 찾기/북마크 및 캐시 된 페이지에는 모두 쿼리 스트링이 포함됩니다. 원격 끝에있는 서버 로그는 쿼리 스트링과 일부 컨텐츠 세부 사항을 포함 할 수도 있습니다.
또한 URL이 항상 안전하지는 않습니다. 도메인, 프로토콜 및 포트가 표시됩니다. 그렇지 않으면 라우터가 요청을 어디로 보낼지 모릅니다.
또한 HTTP 프록시가있는 경우 프록시 서버는 주소를 알고 있으며 일반적으로 전체 쿼리 스트링을 모릅니다.
따라서 데이터가 이동하면 일반적으로 보호됩니다. 운송 중이 아니라면 암호화되지 않습니다.
선택하지는 않지만 끝의 데이터는 해독되어 있으며, 마음대로 구문 분석, 읽기, 저장, 전달 또는 폐기 할 수 있습니다. 또한, 양쪽 끝에있는 맬웨어는 HTTPS 내부의 페이지 내부 (BAD) JavaScript와 같은 SSL 프로토콜을 입력 (또는 종료) 할 수있는 데이터 스냅 샷을 가져올 수 있습니다. 종종 제한되고 유용하지 않음).
또한 쿠키는 HTTPS 프로토콜에 따라 암호화되지 않습니다. 민감한 데이터를 쿠키 (또는 그 문제에 대한 다른 곳)에 저장하려는 개발자는 자신의 암호화 메커니즘을 사용해야합니다.
캐시와 관련하여 대부분의 최신 브라우저는 HTTPS 페이지를 캐시하지 않지만 해당 사실은 HTTPS 프로토콜에 의해 정의되지 않으므로 HTTPS를 통해 수신 된 페이지를 캐시하지 않도록 브라우저의 개발자에 전적으로 의존합니다.
패킷 스니핑이 걱정된다면 아마 괜찮을 것입니다. 그러나 맬웨어 나 누군가가 당신의 역사, 북마크, 쿠키 또는 캐시를 찌르는 것에 대해 걱정한다면, 당신은 아직 물에서 벗어나지 않습니다.
SSL을 사용하면 암호화가 전송 수준에 있으므로 요청이 전송되기 전에 발생합니다.
따라서 요청의 모든 것이 암호화됩니다.
HTTPS (HTTP Over SSL)는 모든 HTTP 컨텐츠를 SSL TUNEL로 보내므로 HTTP 컨텐츠 및 헤더도 암호화됩니다.
예, 헤더는 암호화됩니다. 작성되었습니다 여기.
HTTPS 메시지의 모든 것은 헤더 및 요청/응답로드를 포함하여 암호화됩니다.
URL도 암호화되며 실제로 IP, 포트 및 암호화되지 않은 호스트 이름 인 SNI 만 있습니다.
