São HTTPS cabeçalhos criptografado?
https://stackoverflow.com/questions/187655
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Ao enviar dados através de HTTPS, eu sei que o conteúdo é criptografado, no entanto I ouvir respostas mistos sobre se os cabeçalhos são criptografados, ou quanto do cabeçalho é criptografado.
Quanto de HTTPS cabeçalhos são criptografados?
Incluindo GET / solicitação URLs POST, Cookies, etc.
Solução
O lote inteiro é criptografado † - todos os cabeçalhos. É por isso que o SSL em vhosts não funciona muito bem - você precisa de um endereço IP dedicado, porque o cabeçalho do host é criptografado
.† O Servidor de Nome de Identificação (SNI) meios padrão que o nome do host não podem ser criptografados se você estiver usando TLS. Além disso, se você estiver usando SNI ou não, os cabeçalhos TCP e IP nunca são criptografados. (Se fossem, seus pacotes não seria roteáveis.)
Outras dicas
Os cabeçalhos são totalmente criptografadas. A única informação que vai através da rede 'em claro' está relacionada com a configuração SSL e troca de chave D / H. Esta troca é cuidadosamente projetado para não ceder qualquer informação útil para bisbilhoteiros, e uma vez que tenha ocorrido, todos os dados são criptografados.
HTTP versão 1.1 adicionou um método HTTP especial, CONNECT -. A intenção de criar o túnel SSL, incluindo o aperto de mão protocolo necessário e configuração de criptografia
Os pedidos regulares, posteriormente, todos são enviados embrulhado no túnel SSL, cabeçalhos e corpo inclusive.
New resposta à pergunta de idade, desculpe. Pensei em adicionar my $ .02
O OP perguntou se os cabeçalhos foram criptografados.
Eles são: em trânsito
.Não são: quando não estiver em trânsito
.Assim, URL (e título, em alguns casos) do seu navegador pode exibir a querystring (que geralmente contêm os detalhes mais sensíveis) e alguns detalhes no cabeçalho; o navegador sabe algumas informações de cabeçalho (tipo de conteúdo, unicode, etc); e histórico do navegador, gerenciamento de senhas, favoritos / bookmarks e páginas em cache tudo vai conter a querystring. logs do servidor no final remoto também pode conter querystring, bem como alguns detalhes do conteúdo.
Além disso, o URL não é sempre segura:. Do domínio, protocolo e porta são visíveis - caso contrário, roteadores não sei para onde enviar seus pedidos
Além disso, se você tem um proxy HTTP, o servidor proxy sabe o endereço, geralmente eles não sabem o querystring completo.
Então, se os dados estão se movendo, é geralmente protegida. Se não estiver em trânsito, não é criptografada.
não escolher nit, mas os dados no final também é descodificada, e pode ser analisado, ler, salvo, encaminhadas ou descartado à vontade. E, malware em cada extremidade pode tirar instantâneos de dados que entram (ou sair) o protocolo SSL - como (mau) Javascript dentro de uma página dentro HTTPS que pode subrepticiamente fazer http (ou https) chamadas para sites madeireiras (desde acesso ao disco rígido local, muitas vezes é restrito e não é útil).
Além disso, os cookies não são criptografadas sob o protocolo HTTPS, também. Os desenvolvedores que desejam armazenar dados confidenciais em cookies (ou em qualquer outro lugar para esse assunto) necessidade de usar o seu próprio mecanismo de criptografia.
Como a cache, os navegadores mais modernos não vai cache de páginas HTTPS, mas esse fato não é definida pelo protocolo HTTPS, é totalmente dependente do desenvolvedor de um navegador para ter certeza de não páginas de cache recebidos através de HTTPS.
Então, se você está preocupado com packet sniffing, provavelmente você está bem. Mas se você está preocupado com malware ou alguém cutucando através de seu histórico, favoritos, cookies, ou cache, você não está fora da água ainda.
Com SSL a criptografia é no nível de transporte, por isso ocorre antes de uma solicitação é enviada.
Assim tudo na solicitação são criptografados.
HTTPS (HTTP sobre SSL) envia todos os conteúdos HTTP ao longo de um túnel SSH, para HTTP conteúdo e cabeçalhos são criptografados também.
Sim, os cabeçalhos são criptografados. Está escrito aqui .
Tudo na mensagem HTTPS é criptografado, incluindo os cabeçalhos, e a carga de solicitação / resposta.
o URL também é criptografada, você realmente só tem o IP, Port e se SNI, o nome de host que não são criptografadas.
