web-dev-qa-db-ja.com

HTTPSヘッダーは暗号化されていますか?

HTTPSを介してデータを送信すると、コンテンツが暗号化されていることがわかりますが、ヘッダーが暗号化されているかどうか、またはヘッダーのうちどれくらいが暗号化されているかがわかりません。

HTTPSヘッダーのうちどれだけが暗号化されていますか?

GET/POSTリクエストのURL、Cookieなどを含む.

521
Dan Herbert

ロット全体が暗号化されています - すべてのヘッダこれが、仮想ホスト上のSSLがうまく機能しない理由です。Hostヘッダーが暗号化されているため、専用のIPアドレスが必要です。

サーバー名識別(SNI)規格は、TLSを使用している場合、ホスト名が暗号化されていない可能性があることを意味します。また、SNIを使用しているかどうかにかかわらず、TCPおよびIPヘッダーは暗号化されません。 (もしそうであれば、あなたのパケットはルーティングできないでしょう。)

486
Greg

ヘッダーは完全に暗号化されています。 「平文で」ネットワークを通過する唯一の情報は、SSLの設定とD/Hキー交換に関するものです。この交換は、盗聴者に有用な情報を提供しないように慎重に設計されています。一度行われると、すべてのデータが暗号化されます。

91
mdb

HTTPバージョン1.1では、特別なHTTPメソッドCONNECTが追加されました。SSLトンネルを作成するためのもので、必要なプロトコルハンドシェイクや暗号化設定が含まれています。
その後の通常のリクエストはすべて、SSLトンネル、ヘッダー、本文を含めてラップされて送信されます。

52
AviD

古い質問に対する新しい回答、申し訳ありません。私は私が私の$ 0.02を追加すると思いました

OPはヘッダーが暗号化されているかどうかを尋ねました。

それらは次のとおりです。

彼らはそうではありません:輸送中でない時。

そのため、ブラウザのURL(および場合によってはタイトル)は、クエリ文字列(通常は最も機密性の高い詳細を含む)とヘッダ内の詳細を表示できます。ブラウザはヘッダ情報(コンテンツタイプ、Unicodeなど)を知っています。ブラウザの履歴、パスワード管理、お気に入り/ブックマーク、キャッシュされたページにはすべてクエリ文字列が含まれます。リモートエンドのサーバーログには、クエリ文字列や一部のコンテンツ詳細も含まれる可能性があります。

また、URLは常に安全というわけではありません。ドメイン、プロトコル、およびポートが表示されます。それ以外の場合、ルーターは要求をどこに送信するのかを知りません。

また、あなたがHTTPプロキシを持っているなら、プロキシサーバはアドレスを知っています、通常彼らは完全なクエリ文字列を知りません。

そのため、データが移動している場合は、通常は保護されています。転送中でない場合は、暗号化されていません。

最後のデータも復号化されているので、解析、読み取り、保存、転送、または自由に破棄することができます。そして、両端のマルウェアがSSLプロトコルに入る(または出る)データのスナップショットを取ることができます。たとえば、HTTPS内のページ内に(不正な)Javascriptが記録されているWebサイトに誤ってhttp(またはhttps)呼び出しをするしばしば制限されていて有用ではありません)。

また、CookieもHTTPSプロトコルでは暗号化されていません。機密データをCookie(またはそれ以外の場所)に保存したい開発者は、独自の暗号化メカニズムを使用する必要があります。

キャッシュに関しては、最近のほとんどのブラウザはHTTPSページをキャッシュしませんが、その事実はHTTPSプロトコルでは定義されていません。HTTPを介して受信したページをキャッシュしないことはブラウザの開発者に完全に依存します。

あなたがパケットスニッフィングを心配しているのであれば、あなたはおそらく大丈夫です。しかし、マルウェアや自分の履歴、ブックマーク、Cookie、キャッシュを盗み見ている人を心配しているのであれば、あなたはまだ水の外にいるわけではありません。

51
Andrew Jennings

SSLでは、暗号化はトランスポートレベルにあるため、要求が送信される前に行われます。

そのため、リクエスト内のすべてのものが暗号化されます。

41
blowdart

HTTPS(HTTP over SSL)は、すべてのHTTPコンテンツをSSLトンネル経由でHTTPコンテンツに送信し、ヘッダーも暗号化されます。

37
CMS

はい、ヘッダは暗号化されています。ここに と書かれています

HTTPSメッセージ内のすべてのもの(ヘッダー、要求/応答の負荷など)は暗号化されています。

19
keypress

uRLも暗号化されています。実際には、IP、ポート、SNIの場合は暗号化されていないホスト名しかありません。

6
xxiao