Um atacante pode capturar dados em um URL por HTTPS?

17

Os dados incluídos em um URL podem ser considerados seguros se a conexão for feita por HTTPS? Por exemplo, se um usuário clicar em um link em um e-mail que aponte para o link , será possível que um invasor capture "mysecretstring" da URL?

    
por James Cadd 01.10.2010 / 06:26

5 respostas

25

Toda a solicitação (e resposta) HTTP é criptografada, incluindo o URL.

Mas sim, existe uma maneira de o atacante pegar o URL completo: através do cabeçalho Referer. Se houver algum arquivo externo (Javscript, CSS, etc.) que não seja HTTPS, o URL completo poderá ser sniffado no cabeçalho Referer. O mesmo se o usuário clicar em um link na página que leva a uma página HTTP (sem SSL).

Além disso, as solicitações de DNS não são criptografadas, portanto, um invasor pode saber que o usuário está indo para mysite.com.

    
por 01.10.2010 / 07:21
14

Não, eles podem ver a conexão ie mysite.com mas não o? mysecretstring = 1234 o https é servidor para servidor

    
por 01.10.2010 / 06:57
0

Eles precisariam ter a chave de criptografia. Teoricamente isso não é possível, mas qualquer bom ataque poderia. Este é o objetivo do SSL criptografar todos os dados enviados para e do servidor para evitar a detecção.

    
por 01.10.2010 / 10:32
0

Mantenha seus weblogs seguros ou nem os escreva. Se você obtiver uma exploração remota em que os logs possam ser lidos, todos os dados da URL ficarão visíveis nos registros.

    
por 01.10.2010 / 12:47
-1

Apenas se eles conseguirem identificar a https auth por meio de algum tipo de spoofing

    
por 01.10.2010 / 08:52