Pagina principala » HOWTO » Pot terțe părți să citească adresa URL completă când navighează prin HTTPS?

    Pot terțe părți să citească adresa URL completă când navighează prin HTTPS?


    Când vizitați în siguranță un site web prin intermediul https: // datele trimise între server și browserul dvs. sunt criptate, dar despre URL-urile pe care le vizitați în cadrul site-ului? Este posibil ca ISP-ul dvs. sau un alt observator terț să vadă ceea ce căutați?

    Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.

    Intrebarea

    Un cititor anonim SuperUser dorește să știe dacă sesiunile de navigare sunt complet securizate:

    Știm cu toții că HTTPS criptează conexiunea dintre computer și server, astfel încât acesta să nu poată fi vizualizat de o terță parte. Cu toate acestea, ISP sau o terță parte văd link-ul exact al paginii pe care a accesat-o utilizatorul?

    De exemplu, vizitez:

    https://www.website.com/data/abc.html

    Va informa ISP-ul că am accesat * / data / abc.html sau doar știu că am vizitat IP-ul www.website.com?

    Dacă știu, atunci de ce Wikipedia și Google au HTTPS atunci când cineva poate citi doar jurnalele de internet și să afle exact conținutul vizualizat de utilizator?

    O întrebare interesantă cu siguranță care are implicații asupra vieții private. Să investigăm.

    Răspunsul

    Contribitorul la SuperUser Grawity oferă o prezentare foarte concisă a modului în care se procesează adresa URL completă pe parcurs:

    De la stanga la dreapta:

    schemă https: este, evident, interpretat de browser.

    numele domeniului www.website.com este rezolvată la o adresă IP utilizând DNS. Furnizorul dvs. ISP vom vedea solicitarea DNS pentru acest domeniu și răspunsul.

    cale /data/abc.html este trimis în cererea HTTP. Dacă utilizați HTTPS, acesta vor fi criptate împreună cu restul cererii și răspunsului HTTP.

    șir de interogare ?acest = asta, dacă este prezentă în adresa URL, este trimisă în cererea HTTP - împreună cu calea. Deci, de asemenea, este criptată.

    fragment #Acolo, dacă este prezent, nu este trimis nicăieri - este interpretat de browser (uneori prin JavaScript pe pagina returnată).

    Pe scurt, totul în partea dreaptă a numelui de domeniu este criptat de sesiunea HTTPS și rămâne invizibil pentru ISP-ul dvs. sau pentru oricine altcineva care vă interesează în activitățile dvs..


    Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.