Czy osoba atakująca może wąchać dane w adresie URL przez HTTPS?

19

Czy dane zawarte w adresie URL można uznać za bezpieczne, jeśli połączenie jest nawiązywane przez HTTPS? Na przykład, jeśli użytkownik kliknie link w wiadomości e-mail prowadzącej do https://mysite.com?mysecretstring=1234, czy osoba atakująca może pobrać „mój sekretny ciąg” z adresu URL?

James Cadd
źródło

Odpowiedzi:

27

Całe żądanie HTTP (i odpowiedź) jest szyfrowane, w tym adres URL.

Ale tak, istnieje sposób, w jaki osoba atakująca może pobrać pełny adres URL: poprzez nagłówek odwołania. Jeśli istnieje jakikolwiek plik zewnętrzny (Javscript, CSS itp.), Który nie jest nad HTTPS, pełny adres URL może być wąchany w nagłówku odwołania. To samo, jeśli użytkownik kliknie link na stronie, który prowadzi do strony HTTP (bez SSL).

Ponadto żądania DNS nie są szyfrowane, więc osoba atakująca może wiedzieć, że użytkownik odwiedza mysite.com.

Julien
źródło
Kiedy mówisz „pełny adres URL”, czy obejmuje to parametry (np. Mysecretstring = 1234)?
sampablokuper
W nagłówku strony odsyłającej, jeśli parametry są w adresie URL, można to zobaczyć
chmeee
1
więc nie ładuj żadnych obrazów zewnętrznych, css, js. użyj / zapisz tajny ciąg i przekieruj wewnętrznie, aby pozbyć się tajnego ciągu. potem można użyć zewnętrznych adresów URL.
Neil McGuigan,
14

Nie, widzą połączenie tj. Mysite.com, ale nie? Mysecretstring = 1234 https to serwer do serwera

Chris
źródło
6
W rzeczywistości nie widzą nawet nazwy domeny, z którą się łączysz, ale który adres IP. Ponieważ certyfikaty SSL tylko w rozsądny sposób działają w relacji 1: 1 nazwa-domena-adres IP, jest to najprawdopodobniej nieistotne. Również jeśli atakujący może wąchać ruch DNS, może to zostać ujawnione. Parametry GET i POST są tak bezpieczne, jak ruch HTTPS: jeśli jesteś klientem, a certyfikat serwera jest bezkompromisowy, dane są zabezpieczone przed podsłuchem przez osoby trzecie.
Paul
0

Musieliby mieć klucz szyfrujący. Teoretycznie nie jest to możliwe, ale każdy dobry atak mógłby. Jest to cały cel protokołu SSL do szyfrowania wszystkich danych wysyłanych do i z serwera, aby uniemożliwić wąchanie.

Chris
źródło
0

Dbaj o bezpieczeństwo swoich blogów lub nawet ich nie pisz. Jeśli pojawi się zdalny exploit, w którym dzienniki można odczytać, wszelkie dane adresu URL będą widoczne w dziennikach.


źródło
Dane postów nie znajdują się w dziennikach.
Ryaner
wszystko to zależy od konfiguracji =)
spacediver 30.10.16
-1

Tylko wtedy, gdy są w stanie sniffować uwierzytelnianie https za pomocą pewnego rodzaju fałszowania

Jimsmithkka
źródło
Czy masz na myśli atak człowieka w środku? To więcej niż wąchanie, atakujący musi podszyć się pod serwer.
Julien
no cóż, jego MiM dla uścisku dłoni, ale po tym, jak tylko wącha, konkretnym narzędziem jest chomik i fretka, które widziałem
Jimsmithkka