HTTPSを介したGETリクエストは、盗聴者にどの程度明らかになりますか
HTTP v1.1によると、間違っている場合は修正してください。単純なCONNECT要求により、サーバーとクライアント間のSSLトンネルが開始されます。トンネルが作成されて初めて、完全なGETまたはPOST=要求が送信されます。最初に送信されるのは、SSLを開始するためのGET/POST要求のストリップバージョンです。
SSLが開始されると、私の知る限り、盗聴者はTCP/IPパケット内の宛先IP、送信元IP、およびポートしか見ることができません。それ以外はすべて暗号化されます。同じことが間違っている場合は、もう一度訂正してください。これは収集した情報の集まりであり、確認が必要です。
私が今まで言ったことが正しいなら
uRLの呼び出し:www.websiteurl.com?username=name&password=PASSWORD
サーバーとクライアントの間を行き来するパケットを盗聴する者のみが関係している限り、完全に安全でなければなりません。 URLはローカルコンピュータのどこにでも記録されるため、危険な場合があります。この知識を持ったシステムを実装するつもりはありませんが、私が正しく知っていることを知っているかどうかを確認する必要があります。
では、SSLセッションがサーバーで開始された後にHTTPSを使用する場合、機密情報をGETで送信しても安全でしょうか?
URL経由で機密情報を送信する必要がないため、この質問には実際的な実装がない場合があります。
HTTP v1.1によると、間違っている場合は修正してください。単純なCONNECT要求により、サーバーとクライアント間のSSLトンネルが開始されます。トンネルが作成された後にのみ、完全なGETまたはPOST要求が送信されます。
いいえ、これはHTTP CONNECTではありません。TCP接続要求です。HTTPCONNECTメソッドは、HTTPプロキシ経由で接続していて、プロキシサーバーの証明書がクライアントブラウザー。これにより、今後のリクエストはHTTPリクエスト(プロキシで復号化され、宛先の旅程のために再暗号化される)ではなく、純粋なSSLデータ(暗号化)としてプロキシ経由で送信されます。
SSLが開始されると、私の知る限り、盗聴者はTCP/IPパケット内の宛先IP、送信元IP、およびポートしか見ることができません。それ以外はすべて暗号化されます。もう一度訂正してください
ほとんど。送信元ポートと宛先ポート、およびIPを確認できます。 [〜#〜] sni [〜#〜] が有効になっている場合は、宛先ドメイン名を確認できます。
では、SSLセッションがサーバーで開始された後にHTTPSを使用する場合、機密情報をGETで送信しても安全でしょうか?
はい、これらの目的のために。 [〜#〜] mitm [〜#〜] は、URLのパスまたはクエリ文字列パラメーターを表示しませんが、ブラウザーの履歴などの場所でこれらがリークするのは簡単ですが、信頼できるプロキシサーバーのログ(クライアントマシンから信頼されている企業環境のプロキシなど)またはrefererヘッダーのログ。
hTTP v1.1によると、単純なCONNECT要求により、サーバーとクライアント間のSSLトンネルが開始されます。
本当に正しくない。 CONNECTは、プロキシと一緒にのみ使用されます。それでも、反対側に直接トンネルを確立するだけで、SSLトンネルは確立しません。 SSLトンネルは、プロキシの有無にかかわらず、両方のパーティ間のSSLハンドシェイクでのみ確立されます。
SSLが開始されると、私の知る限り、盗聴者はTCP/IPパケット内の宛先IP、送信元IP、およびポートしか見ることができません。
最近のすべてのブラウザーはSNI(サーバー名表示)を使用して同じIPの背後にある複数の証明書をサポートするため、ほとんどの場合、要求されたホスト名も確認できます。これがなくても、通常は要求されたホスト名が含まれているサーバーからの証明書を見ることができます(ただし、中には他の名前も含まれている場合があります)。盗聴者は、SSL、どの暗号が使用されているか、どのプロトコルバージョンが話されているかなども確認できます。
ただし、完全なURLやCookieなどのリクエストからのその他の情報は表示されません。
では、SSLセッションがサーバーで開始された後にHTTPSを使用する場合、機密情報をGETで送信しても安全でしょうか?
機密情報がホスト名ではなく、パス、クエリ文字列、またはPOSTリクエストのペイロードに含まれている場合は、TLSで十分です。
すでに回答されている可能性がありますが、通常の環境(自宅など)では、TCPハンドシェイクと、ホストとOCS(元のコンテンツサーバー)またはWebサーバーとの間のSSLハンドシェイクのみが表示されます。明示的なプロキシ設定の場合のみ、HTTP CONNECTリクエストが表示されますが、これはホストからプロキシへのリクエストです。プロキシはトラフィックをインターセプトします。その後、ホストとプロキシ間のSSLハンドシェイクが表示され、何も表示されません。もっと。