If-Koubou

Pot terțe părți să citească adresa URL completă când navighează prin HTTPS?

Pot terțe părți să citească adresa URL completă când navighează prin HTTPS? (Cum să)


Când vizitați în siguranță un site web prin https: // datele trimise între server și browserul dvs. sunt criptate, dar ce este vorba de adresele URL pe care le accesați în cadrul site-ului? Este posibil ca ISP-ul dvs. sau un alt observator terț să vadă ceea ce căutați?

Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.

Intrebarea

Un cititor anonim SuperUser dorește să știe dacă sesiunile de navigare sunt complet securizate:

Știm cu toții că HTTPS criptează conexiunea dintre computer și server, astfel încât să nu poată fi văzută de o terță parte. Cu toate acestea, ISP sau o terță parte văd link-ul exact al paginii pe care a accesat-o utilizatorul?

De exemplu, vizitez:

https://www.website.com/data/abc.html

Va informa ISP-ul că am accesat * / data / abc.html sau doar știu că am vizitat IP-ul www.website.com?

Dacă știu, atunci de ce Wikipedia și Google au HTTPS atunci când cineva poate doar să citească jurnalele de internet și să afle exact conținutul pe care la văzut utilizatorul?

O întrebare interesantă cu siguranță care are implicații asupra vieții private. Să investigăm.

Răspunsul

Contribitorul la SuperUser Grawity oferă o prezentare foarte concisă a modului în care este procesată adresa URL completă pe parcurs:

De la stanga la dreapta:

schemă https: este, evident, interpretat de browser.

numele domeniului www.website.com este rezolvată la o adresă IP utilizând DNS. Furnizorul dvs. ISP vom vedea solicitarea DNS pentru acest domeniu și răspunsul.

cale /data/abc.html este trimis în cererea HTTP. Dacă utilizați HTTPS, acesta vor fi criptate împreună cu restul cererii și răspunsului HTTP.

șir de interogare ? = Acest lucru ca, dacă este prezentă în adresa URL, este trimisă în cererea HTTP - împreună cu calea. Deci, de asemenea, este criptat.

fragment #Acolo, dacă este prezent, nu este trimis nicăieri - este interpretat de browser (uneori prin JavaScript pe pagina returnată).

Pe scurt, totul în partea dreaptă a numelui de domeniu este criptat de sesiunea HTTPS și rămâne invizibil pentru ISP-ul dvs. sau pentru oricine altcineva care vă interesează în activitățile dvs.

Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.

Articole de top
Poate oamenii să mă găsească cu adevărat folosind fotografiile pe care le post online?
Cum să
Este posibil să deconectați un hard disk portabil USB de la un calculator?
Cum să
Poate Utilizarea sursei greșite de alimentare încetini un laptop?
Cum să