O URL pode ser lido por terceiros ao navegar via HTTPS?

32

Todos nós sabemos que o HTTPS criptografa a conexão entre o computador e o servidor para que ele não possa ser visto por terceiros. No entanto, o ISP ou um terceiro pode ver o link exato da página acessada pelo usuário?

Por exemplo, eu visito

https://www.website.com/data/abc.html

O ISP saberá que eu acessei / / data / abc.html ou apenas saiba que visitei o IP de www.website.com?

Se eles sabem, por que a Wikipedia e o Google têm HTTPS quando alguém pode ler os registros da Internet e descobrir o conteúdo exato que o usuário visualizou?

    
por Anonymous 19.03.2013 / 22:16

3 respostas

48

Da esquerda para a direita:

O esquema https: é, obviamente, interpretado pelo navegador.

O nome de domínio www.website.com é resolvido para um endereço IP usando o DNS. Seu provedor verá a solicitação de DNS desse domínio e a resposta.

O caminho /data/abc.html é enviado na solicitação HTTP. Se você usar HTTPS, será criptografado junto com o restante da solicitação e resposta HTTP.

A cadeia de consulta ?this=that , se presente no URL, é enviada no pedido HTTP - juntamente com o caminho. Então, também é criptografado.

O fragmento #there , se presente, não é enviado para nenhum lugar - é interpretado pelo navegador (às vezes por JavaScript na página retornada).

    
por 19.03.2013 / 22:24
13

O ISP saberá apenas que você visitou o endereço IP associado a www.website.com (e talvez o URL, se você estiver usando o DNS deles e eles estiverem procurando especificamente o tráfego - se a consulta DNS não passar por eles que ganharam) ver isso).

(Fique comigo um pouco aqui - eu chego à resposta.)

A maneira como o protocolo HTTP funciona é conectando-se a uma porta (geralmente a porta 80) e então o navegador comunica qual página deseja para o servidor - Uma simples solicitação para procurar http://www.sitename.com/url/of/site.html teria as seguintes linhas:

GET /url/of/site.html HTTP/1.1
host: www.sitename.com

HTTPS faz exatamente a mesma coisa, exceto na porta 443 - e ele envolve toda a sessão TCP (ou seja, tudo que você vê no bit acima citados mais a resposta) em uma sessão criptografada SSL - assim o ISP não vê nenhum tráfego (mas pode ser capaz de inferir algo com base no tamanho do site e a pesquisa de DNS para resolver www.sitename.com para um endereço IP na primeira instância).

Naturalmente, se houver "web bugs" embutidos na página, isso pode dar aos "parceiros" dos distribuidores de informações dicas sobre o que você está visualizando e sobre quem você é - da mesma forma, se sua cadeia de confiança for quebrada, O ISP pode executar um ataque man-in-the-middle. A razão pela qual você pode ter criptografia privada de ponta a ponta, em teoria, é por causa de certificados de AC distribuídos com o seu navegador. Se um ISP ou governo puder adicionar um certificado de CA ou comprometer uma CA - e ambos já aconteceram no passado - você perderá sua segurança. Acredito que O Grande Firewall da China efetivamente faz ataques Man-In-The-Middle para ler dados HTTPS, mas já faz um tempo desde que eu estava lá.

Você pode testar isso com facilidade, obtendo um software que detecta o tráfego que entra e sai do seu computador. Acredito que um software gratuito chamado Wireshark fará isso por você.

    
por 19.03.2013 / 22:36
0

Não sei se isso é comentário ou resposta digna, mas gostaria de compartilhar um adendo.

As respostas aqui mostram o que deve acontecer. A questão é possível que a url seja lida. A resposta para isso é sim, embora seja relativamente improvável.

Um invasor (terceiro) pode absolutamente interceptar seu tráfego https e ler todas as suas solicitações em casos específicos. Para saber mais, convidei-o a ler o MITM , bem como SSLStrip . Eu posso entrar nisso mais se necessário para entender.

Você não deve esperar que seu ISP faça isso porque é um desperdício de sua largura de banda, mas também porque eles têm mais a perder se você descobrir e processar. No entanto, a resposta mais precisa à sua pergunta Isso pode ser feito? é sim, embora seja improvável que alguém se importe o suficiente para ver o que você está pesquisando no Google ou wiki.

    
por 21.03.2013 / 05:50

Tags