Может ли злоумышленник перехватить данные в URL через HTTPS?

19

Могут ли данные, включенные в URL, считаться безопасными, если соединение установлено по HTTPS? Например, если пользователь щелкает ссылку в сообщении электронной почты, которая указывает на https://mysite.com?mysecretstring=1234, сможет ли злоумышленник получить «mysecretstring» с URL-адреса?

security https url Джеймс Кэдд
источник

Ответы:

27

Весь HTTP-запрос (и ответ) зашифрован, включая URL.

Но да, есть способ, которым злоумышленник может получить полный URL: через заголовок Referer. Если есть какой-либо внешний файл (Javscript, CSS и т. Д.), Не использующий HTTPS, полный URL-адрес может быть обнаружен в заголовке Referer. То же самое, если пользователь щелкает ссылку на странице, которая ведет на страницу HTTP (без SSL).

Кроме того, DNS-запросы не зашифрованы, поэтому злоумышленник может знать, что пользователь заходит на mysite.com.

Julien
источник
Когда вы говорите «полный URL», включает ли это параметры (например, mysecretstring = 1234)?
Сампаблокупер
В заголовке Referer, если параметры указаны в URL, это видно
chmeee
1
Итак, не загружайте внешние изображения, CSS, JS. используйте / храните секретную строку и перенаправляйте ее изнутри, чтобы избавиться от секретной строки. после этого можете использовать внешние URL.
Нил Макгиган
14

Нет, они могут видеть соединение, т.е. mysite.com, но не? Mysecretstring = 1234, https - сервер к серверу.

Крис
источник
6
На самом деле они даже не видят, к какому доменному имени вы подключаетесь, а к какому IP-адресу. Поскольку SSL-сертификаты разумно работают только с отношением доменное имя-IP-адрес 1: 1, это, скорее всего, не имеет значения. Также, если злоумышленник может прослушать ваш трафик DNS, это может быть обнаружено. Параметры GET и POST так же безопасны, как и трафик HTTPS: если вы являетесь клиентом и сертификат сервера действителен без компромиссов, данные защищены от перехвата третьими лицами.
Пол
0

Им нужно будет иметь ключ шифрования. Теоретически это невозможно, но любая хорошая атака может. В этом и заключается вся цель SSL - шифровать все данные, отправляемые на сервер и с сервера, чтобы исключить возможность его прослушивания.

Крис
источник
0

Держите свои блоги безопасными, или даже не пишите их. Если вы получаете удаленный эксплойт, где можно прочитать журналы, любые данные URL будут видны в журналах.


источник
Опубликовать данные не в журналах.
Райанер
все это очень зависит от конфигурации =)
spacediver 30.10.16
-1

Только в том случае, если они могут прослушивать HTTPS-аутентификацию с помощью какого-либо спуфинга.

Jimsmithkka
источник
Вы имеете в виду нападение «человек посередине»? Это больше, чем нюхание, злоумышленник должен выдать себя за сервер.
Жюльен
Ну, это MiM для рукопожатия, но после того, как он просто нюхает, конкретный инструмент - хомяк и хорек, которого я видел, продемонстрировал
Jimsmithkka