Чи може зловмисник нюхати дані за URL-адресою через HTTPS?

19

Чи можна вважати, що дані, включені в URL-адресу, захищені, якщо з'єднання здійснюється через HTTPS? Наприклад, якщо користувач натискає посилання в електронному листі, яке вказує на https://mysite.com?mysecretstring=1234, чи можна зловмисникові схопити "mysecretstring" з URL?

security https url

— Джеймс Кадд
джерело

27

Весь HTTP-запит (і відповідь) шифрується, включаючи URL-адресу.

Але так, є спосіб, коли зловмисник міг захопити повну URL-адресу: через заголовок Referer. Якщо є якийсь зовнішній файл (Javscript, CSS тощо), який не над HTTPS, повну URL-адресу можна понюхати в заголовку Referer. Те саме, якщо користувач натискає посилання на сторінці, що веде до сторінки HTTP (без SSL).

Також запити DNS не шифруються, тому зловмисник може знати, що користувач переходить на mysite.com.

— Жульєн
джерело

Коли ви говорите "повна URL-адреса", чи включають це параметри (наприклад, mysecretstring = 1234)?

— sampablokuper

У заголовку Referer, якщо параметри є в URL-адресі, це можна побачити

— chmeee

1

Отже, не завантажуйте зовнішніх зображень, css, js. використовувати / зберігати секретний рядок і внутрішньо перенаправляти, щоб позбутися від секретної рядка. після цього можна використовувати зовнішні URL-адреси.

— Ніл Макгуйган

14

Ні, вони можуть бачити з'єднання, тобто mysite.com, але не? Mysecretstring = 1234 https - це сервер до сервера

— Кріс
джерело

6

Насправді вони навіть не бачать, до якого доменного імені ви підключаєтесь, але до якої IP-адреси. Оскільки SSL-сертифікати розумно працюють лише у відношенні 1: 1 домен-ім’я-IP-адреса, це, швидше за все, не має значення. Також якщо зловмисник може нюхати ваш трафік DNS, це може виявитись. Параметри GET і POST настільки ж безпечні, як і трафік HTTPS: Якщо ви - клієнт, а сертифікат сервера дійсний безкомпромісно, дані захищені від підслуховування сторонніми особами.

— Пол

0

Вони повинні мати ключ шифрування. Теоретично це неможливо, але будь-яка добра атака могла б. У цьому полягає вся мета SSL - зашифрувати всі дані, що надсилаються на сервер і з нього, щоб запобігти їх нюханню.

— Кріс
джерело

0

Зберігайте свої веб-журнали в безпеці або навіть не пишіть їх. Якщо ви отримаєте віддалений експлуататор, де можна прочитати журнали, будь-які дані URL-адреси будуть видимі в журналах.

Дані публікації не містяться в журналах.

— Ryaner

все це дуже залежить від конфігурації =)

— spacediver

-1

Тільки якщо вони зможуть нюхати https auth через якусь підробку

— Jimsmithkka
джерело

Ви маєте на увазі напад чоловіка в середині? Це більше ніж нюхати, зловмиснику потрібно видавати себе за сервер.

— Жульєн

добре його МіМ для рукостискання, але після того, як він просто нюхає, специфічним інструментом є хом'як і тхор, які я бачив, продемонструвавши

— Jimsmithkka