Czy dane POST są szyfrowane przez połączenie SSL?

13

Skonfigurowałem mój serwer WWW do korzystania z SSL (używam WAMP w moim scenariuszu przemieszczania, zanim przejdę na serwery publiczne). Cel tej witryny się powiódł i jestem w stanie korzystać ze strony ze zdalnych komputerów za pomocą protokołu HTTPS.

Obawy, które pojawiły się w przypadku jednego z moich użytkowników (testerów), dotyczyły danych POST. W scenariuszu testowym jest on na miejscu u jednego z naszych potencjalnych klientów, uzyskując dostęp do witryny za BARDZO wybredną zaporą korporacyjną (już ustaliliśmy, jak ta strona ma zastosowanie do ich AUP, i jesteśmy czysti). Prowadzi witrynę w FireFox za pomocą Firebug do monitorowania danych POST i GET. Pytanie jest tutaj:

W jego oknie Firebug POST i Odpowiedź z XMLHTTPRequest wracają jako zwykły tekst. Czy to dlatego, że to on zainicjował bezpieczne połączenie? Czy dane POST / odpowiedzi zostaną wyświetlone administratorom sieci lub dziennikom?

Należy pamiętać, że celem tego nie jest oszukiwanie administratorów ani obchodzenie zasad; jest to aplikacja przeznaczona dla osób przebywających na miejscu w różnych lokalizacjach, które muszą przesyłać wrażliwe dane. Użycie będzie koordynowane z każdą napotkaną infrastrukturą sieciową.

Honus Wagner
źródło
nawet adres URL i kwerenda są szyfrowane
Neil McGuigan,
Jako prosty test i prawidłowe użycie narzędzi do wąchania, użyj tshark / WireShark do filtrowania na podstawie http.request.uri, a gdy pracujesz z https, nie widzisz nic do wyświetlenia. Z drugiej strony wyślij to samo zapytanie przez http i zobaczysz wszystko.
Maziyar,

Odpowiedzi:

20

Tak, dane POST powinny być szyfrowane. Wszystko w żądaniu HTTP powinno być szyfrowane w rozmowie SSL. Firebug pobiera informacje po odszyfrowaniu danych SSL przez przeglądarkę. Jeśli chcesz to zapewnić, użyj czegoś takiego jak Fiddler lub WebScarab jako pośrednik siedzący pomiędzy nimi, chociaż być może będziesz musiał zagrać w gry, aby dobrze grały z SSL. Oto strona, jak odszyfrować ruch HTTPS za pomocą Fiddlera.

squillman
źródło
3
Jeśli w ogóle wątpisz w szyfrowanie, rzuć Wireshark na klienta i wąchaj ruch.
Evan Anderson
Sprawdziłem Fiddlera i porównałem POSTS i GETS między danymi HTTPS i HTTP i potwierdziłem, że POSTS i GETS są bezpieczne. Dzięki!
Honus Wagner
@Evan Czego powinienem szukać w Wireshark?
Honus Wagner
3
@Honus: Szukasz śmieci :). Jeśli dane nie są zaszyfrowane, będzie można je zobaczyć w Wireshark. Jeśli jest zaszyfrowany - zobaczysz zaszyfrowane (nieczytelne) dane.
Sunny
1
@Honus: Wireshark to analizator pakietów, który może / pokaże Ci wszystkie pakiety przechodzące przez przewód. Możesz zobaczyć cały ruch sieciowy niezależnie od protokołów na poziomie aplikacji. Istnieją filtry (w tym jeden dla HTTP), które pozwalają zawęzić zawartość, aby łatwiej zobaczyć, czego szukasz.
squillman