Um atacante pode capturar dados em um URL por HTTPS?

Question

Um atacante pode capturar dados em um URL por HTTPS?

#1 resposta do (25 votos)
#2 resposta do (14 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)
#5 resposta do (-1 votos)

17

Os dados incluídos em um URL podem ser considerados seguros se a conexão for feita por HTTPS? Por exemplo, se um usuário clicar em um link em um e-mail que aponte para o link , será possível que um invasor capture "mysecretstring" da URL?

security url https

por James Cadd 01.10.2010 / 06:26

5 respostas

14

Não, eles podem ver a conexão ie mysite.com mas não o? mysecretstring = 1234 o https é servidor para servidor

por 01.10.2010 / 06:57

0

Eles precisariam ter a chave de criptografia. Teoricamente isso não é possível, mas qualquer bom ataque poderia. Este é o objetivo do SSL criptografar todos os dados enviados para e do servidor para evitar a detecção.

por 01.10.2010 / 10:32

0

Mantenha seus weblogs seguros ou nem os escreva. Se você obtiver uma exploração remota em que os logs possam ser lidos, todos os dados da URL ficarão visíveis nos registros.

por 01.10.2010 / 12:47

-1

Apenas se eles conseguirem identificar a https auth por meio de algum tipo de spoofing

por 01.10.2010 / 08:52

Tags security url https

Como faço para excluir permanentemente mensagens de email na fila do sendmail e impedi-las de voltar? Como faço para aterrar um comutador de rede?

score 25 · Accepted Answer

Toda a solicitação (e resposta) HTTP é criptografada, incluindo o URL.

Mas sim, existe uma maneira de o atacante pegar o URL completo: através do cabeçalho Referer. Se houver algum arquivo externo (Javscript, CSS, etc.) que não seja HTTPS, o URL completo poderá ser sniffado no cabeçalho Referer. O mesmo se o usuário clicar em um link na página que leva a uma página HTTP (sem SSL).

Além disso, as solicitações de DNS não são criptografadas, portanto, um invasor pode saber que o usuário está indo para mysite.com.