Um invasor pode detectar dados em um URL por HTTPS?

19

Os dados incluídos em uma URL podem ser considerados seguros se a conexão for feita por HTTPS? Por exemplo, se um usuário clicar em um link em um email que aponte para https://mysite.com?mysecretstring=1234, seria possível para um invasor pegar "mysecretstring" no URL?

security  https  url 
James Cadd
fonte

Respostas:

27

Toda a solicitação HTTP (e resposta) é criptografada, incluindo a URL.

Mas sim, existe uma maneira de um invasor obter o URL completo: através do cabeçalho do Referer. Se houver algum arquivo externo (Javscript, CSS etc.) que não seja sobre HTTPS, a URL completa poderá ser detectada no cabeçalho do Referer. O mesmo se o usuário clicar em um link na página que leva a uma página HTTP (sem SSL).

Além disso, as solicitações de DNS não são criptografadas, portanto, um invasor pode saber que o usuário está acessando mysite.com.

Julien
fonte
Quando você diz "o URL completo", isso inclui os parâmetros (por exemplo, mysecretstring = 1234)?
sampablokuper
No cabeçalho Referer, se os parâmetros estão na URL pode ser visto
chmeee
1
portanto, não carregue imagens externas, css, js. use / armazene a cadeia secreta e redirecione internamente para se livrar da cadeia secreta. depois disso, pode usar URLs externos.
Neil McGuigan
14

Não, eles podem ver a conexão, ou seja, mysite.com, mas não o? Mysecretstring = 1234, o https é servidor para servidor

Chris
fonte
6
Na verdade, eles nem conseguem ver qual nome de domínio você está se conectando, mas qual endereço IP. Como os certificados SSL funcionam razoavelmente apenas em um relacionamento 1: 1 de domínio-nome-para-endereço-IP, isso provavelmente é irrelevante. Além disso, se o invasor puder detectar o tráfego DNS, isso poderá ser revelado. Os parâmetros GET e POST são tão seguros quanto o tráfego HTTPS: se você é o cliente e o certificado do servidor é válido e sem compromissos, os dados são protegidos contra a interceptação de terceiros.
Paul
0

Eles precisariam ter a chave de criptografia. Teoricamente, isso não é possível, mas qualquer bom ataque poderia. Esse é o objetivo do SSL criptografar todos os dados enviados para e do servidor para impedir a detecção.

Chris
fonte
0

Mantenha seus blogs seguros ou, nem escreva. Se você conseguir uma exploração remota na qual os logs possam ser lidos, quaisquer dados de URL estarão visíveis nos logs.

Os dados da postagem não estão nos logs.
Ryaner
tudo isso depende muito da configuração =) #
spacediver
-1

Somente se eles conseguirem cheirar a autenticação https através de algum tipo de falsificação

Jimsmithkka
fonte
Você quer dizer um ataque man-in-the-middle? Isso é mais do que farejar, o invasor precisa se passar por um servidor.
Julien
bem seus MiM para o aperto de mão, mas depois que ele é apenas sniffing, a ferramenta específica é hamster e doninha que eu vi demonstrado
Jimsmithkka
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.