ข้อมูลที่รวมอยู่ใน URL นั้นจะปลอดภัยหรือไม่หากการเชื่อมต่อผ่าน HTTPS ตัวอย่างเช่นหากผู้ใช้คลิกลิงก์ในอีเมลที่ชี้ไปที่https://mysite.com?mysecretstring=1234เป็นไปได้หรือไม่ที่ผู้โจมตีจะคว้า "mysecretstring" จาก URL?
ข้อมูลที่รวมอยู่ใน URL นั้นจะปลอดภัยหรือไม่หากการเชื่อมต่อผ่าน HTTPS ตัวอย่างเช่นหากผู้ใช้คลิกลิงก์ในอีเมลที่ชี้ไปที่https://mysite.com?mysecretstring=1234เป็นไปได้หรือไม่ที่ผู้โจมตีจะคว้า "mysecretstring" จาก URL?
คำตอบ:
คำขอ HTTP ทั้งหมด (และการตอบสนอง) ถูกเข้ารหัสรวมถึง URL
แต่ใช่มีวิธีที่ผู้โจมตีสามารถคว้า URL เต็ม: ผ่านส่วนหัวของผู้อ้างอิง หากมีไฟล์ภายนอกใด ๆ (Javscript, CSS, ฯลฯ ) ซึ่งไม่เกิน HTTPS URL เต็มอาจถูกดมกลิ่นในส่วนหัวของผู้อ้างอิง เช่นเดียวกันหากผู้ใช้คลิกที่ลิงค์ในหน้าเว็บที่นำไปสู่หน้า HTTP (ไม่มี SSL)
นอกจากนี้คำขอ DNS จะไม่เข้ารหัสดังนั้นผู้โจมตีสามารถทราบว่าผู้ใช้กำลังไปที่ mysite.com
ไม่พวกเขาสามารถเห็นการเชื่อมต่อเช่น mysite.com แต่ไม่ใช่? mysecretstring = 1234 https คือเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์
พวกเขาจะต้องมีรหัสการเข้ารหัส ตามหลักวิชานี้เป็นไปไม่ได้ แต่อาจมีการโจมตีที่ดีก็ได้ นี่คือจุดประสงค์ทั้งหมดของ SSL ในการเข้ารหัสข้อมูลทั้งหมดที่ส่งไปยังและจากเซิร์ฟเวอร์เพื่อป้องกันไม่ให้สามารถสูดดม
รักษาเว็บบล็อกของคุณให้ปลอดภัยหรือไม่แม้แต่เขียน หากคุณได้รับประโยชน์จากระยะไกลซึ่งสามารถอ่านบันทึกข้อมูล URL ใด ๆ จะปรากฏในบันทึก
เฉพาะในกรณีที่พวกเขาสามารถสูดดม https auth ผ่านการปลอมแปลงบางประเภท