Может ли злоумышленник перехватить данные в URL через HTTPS?

19

Могут ли данные, включенные в URL, считаться безопасными, если соединение установлено по HTTPS? Например, если пользователь щелкает ссылку в сообщении электронной почты, которая указывает на https://mysite.com?mysecretstring=1234, сможет ли злоумышленник получить «mysecretstring» с URL-адреса?

security https url

— Джеймс Кэдд
источник

27

Весь HTTP-запрос (и ответ) зашифрован, включая URL.

Но да, есть способ, которым злоумышленник может получить полный URL: через заголовок Referer. Если есть какой-либо внешний файл (Javscript, CSS и т. Д.), Не использующий HTTPS, полный URL-адрес может быть обнаружен в заголовке Referer. То же самое, если пользователь щелкает ссылку на странице, которая ведет на страницу HTTP (без SSL).

Кроме того, DNS-запросы не зашифрованы, поэтому злоумышленник может знать, что пользователь заходит на mysite.com.

— Julien
источник

Когда вы говорите «полный URL», включает ли это параметры (например, mysecretstring = 1234)?

— Сампаблокупер

В заголовке Referer, если параметры указаны в URL, это видно

— chmeee

1

Итак, не загружайте внешние изображения, CSS, JS. используйте / храните секретную строку и перенаправляйте ее изнутри, чтобы избавиться от секретной строки. после этого можете использовать внешние URL.

— Нил Макгиган

14

Нет, они могут видеть соединение, т.е. mysite.com, но не? Mysecretstring = 1234, https - сервер к серверу.

— Крис
источник

6

На самом деле они даже не видят, к какому доменному имени вы подключаетесь, а к какому IP-адресу. Поскольку SSL-сертификаты разумно работают только с отношением доменное имя-IP-адрес 1: 1, это, скорее всего, не имеет значения. Также, если злоумышленник может прослушать ваш трафик DNS, это может быть обнаружено. Параметры GET и POST так же безопасны, как и трафик HTTPS: если вы являетесь клиентом и сертификат сервера действителен без компромиссов, данные защищены от перехвата третьими лицами.

— Пол

0

Им нужно будет иметь ключ шифрования. Теоретически это невозможно, но любая хорошая атака может. В этом и заключается вся цель SSL - шифровать все данные, отправляемые на сервер и с сервера, чтобы исключить возможность его прослушивания.

— Крис
источник

0

Держите свои блоги безопасными, или даже не пишите их. Если вы получаете удаленный эксплойт, где можно прочитать журналы, любые данные URL будут видны в журналах.

Опубликовать данные не в журналах.

— Райанер

все это очень зависит от конфигурации =)

— spacediver 30.10.16

-1

Только в том случае, если они могут прослушивать HTTPS-аутентификацию с помощью какого-либо спуфинга.

— Jimsmithkka
источник

Вы имеете в виду нападение «человек посередине»? Это больше, чем нюхание, злоумышленник должен выдать себя за сервер.

— Жюльен

Ну, это MiM для рукопожатия, но после того, как он просто нюхает, конкретный инструмент - хомяк и хорек, которого я видел, продемонстрировал

— Jimsmithkka