บุคคลที่สามสามารถอ่าน URL เมื่อเรียกดูผ่าน HTTPS ได้หรือไม่


32

เราทุกคนรู้ว่า HTTPS เข้ารหัสการเชื่อมต่อระหว่างคอมพิวเตอร์และเซิร์ฟเวอร์เพื่อให้บุคคลที่สามไม่สามารถดูได้ อย่างไรก็ตาม ISP หรือบุคคลที่สามสามารถดูลิงก์ที่ถูกต้องของหน้าเว็บที่ผู้ใช้เข้าถึงได้หรือไม่

ตัวอย่างเช่นฉันไป

https://www.website.com/data/abc.html

ISP จะรู้ว่าฉันเข้าถึง * / data / abc.html หรือเพิ่งรู้ว่าฉันเยี่ยมชม IP ของ www.website.com หรือไม่

หากพวกเขารู้ว่าเหตุใด Wikipedia และ Google จึงมี HTTPS เมื่อมีคนสามารถอ่านบันทึกอินเทอร์เน็ตและค้นหาเนื้อหาที่ผู้ใช้ดูได้อย่างแม่นยำ


7
คำแนะนำ: หากคุณไม่ได้ลงทะเบียนบัญชีของคุณเยี่ยมชมสถานที่นี้จาก IP ต่าง ๆ และไม่เก็บคุกกี้ของคุณการมีส่วนร่วมใน Super User จะเล็กน้อย…แยกส่วนซึ่งหมายความว่าคุณไม่สามารถยอมรับคำตอบในโพสต์ของคุณเองได้ หรือเพิ่มความคิดเห็น ฉันขอแนะนำให้คุณลงทะเบียนบัญชีที่นี่
slhck

คำตอบ:


48

จากซ้ายไปขวา:

คีมา https:จะเห็นได้ชัดว่าการตีความโดยเบราว์เซอร์

ชื่อโดเมน www.website.comได้รับการแก้ไขไปยังที่อยู่ IP ใช้ DNS ISP ของคุณจะเห็นคำขอ DNS สำหรับโดเมนนี้และการตอบสนอง

เส้นทาง /data/abc.htmlที่ถูกส่งในการร้องขอ HTTP หากคุณใช้ HTTPS มันจะถูกเข้ารหัสพร้อมกับคำขอ HTTP และการตอบกลับที่เหลือ

สตริงแบบสอบถาม ?this=thatถ้าปัจจุบันใน URL ที่ถูกส่งในการร้องขอ HTTP - ร่วมกับเส้นทาง ดังนั้นมันจึงเข้ารหัส

ส่วน #thereถ้าปัจจุบันจะไม่ส่งทุกที่ - มันตีความโดยเบราว์เซอร์ (บางครั้งโดย JavaScript บนหน้ากลับ)


3
คุณลืมเบราว์เซอร์สมัยใหม่ที่รองรับ SNI ประกาศชื่อโฮสต์เป็นข้อความธรรมดาแม้กระทั่งคำขอ HTTPS
Monstieur

9
@Kurian: เรื่องใดที่มีความสำคัญเนื่องจากชื่อโฮสต์นั้นถูก "ประกาศ" โดย DNS
grawity

2
@Kurian: สามารถหาที่อยู่ IP ได้ด้วยวิธีอื่น แต่ในทางปฏิบัติแล้วไม่ค่อยมี และกำลังมองหาที่โปรโตคอลเดียวในการแยกโดยไม่คำนึงถึงวิธีการที่มันจริงที่ใช้มีแนวโน้มที่จะพลาดในส่วนที่สำคัญ
โจอาคิมซาวเออ

ฉันไม่รู้ว่า Tor ใช้โหนด exit เดียวกันเพื่อแก้ไขชื่อและสร้างการเชื่อมต่อ HTTPS จริงหรือต่าง ๆ ถ้ามันใช้โหนดแยกต่างหากก็ยังคงเป็นที่เดียวที่ SNI จะสำคัญ
grawity

13

ISP จะรู้ว่าคุณเข้าเยี่ยมชมที่อยู่ IP ที่เชื่อมโยงกับwww.website.com(และอาจเป็น URL หากคุณใช้ DNS ของพวกเขาและพวกเขากำลังมองหาปริมาณการใช้งานโดยเฉพาะ - หากการค้นหา DNS ไม่ผ่านที่พวกเขาจะไม่เห็น)

(อดทนกับฉันสักหน่อยที่นี่ - ฉันจะได้คำตอบ)

วิธีการทำงานของโปรโตคอล HTTP คือการเชื่อมต่อกับพอร์ต (โดยทั่วไปคือพอร์ต 80) จากนั้นเว็บเบราว์เซอร์จะสื่อสารกับหน้าเว็บที่ต้องการไปยังเซิร์ฟเวอร์ - คำของ่าย ๆ ในการค้นหาhttp://www.sitename.com/url/of/site.htmlจะมีบรรทัดต่อไปนี้:

GET /url/of/site.html HTTP / 1.1
ผู้ดำเนินรายการ: www.sitename.com

HTTPS ทำสิ่งเดียวกันยกเว้นในพอร์ต 443 - และล้อมรอบเซสชัน TCP ทั้งหมด (เช่นทุกสิ่งที่คุณเห็นในบิตที่ยกมาข้างต้นบวกกับการตอบกลับ) ในเซสชันที่เข้ารหัส SSL ดังนั้น ISP จึงไม่เห็นการรับส่งข้อมูลใด ๆ แต่พวกเขาอาจสรุปบางสิ่งบางอย่างตามขนาดของไซต์และการค้นหา DNS เพื่อแก้ไขwww.sitename.comที่อยู่ IP ในอินสแตนซ์แรก)

แน่นอนถ้ามี "เว็บบั๊ก" ฝังอยู่ในหน้าเว็บสิ่งนี้สามารถมอบ "พันธมิตร" ของผู้จัดจำหน่ายข้อมูลให้คำแนะนำเกี่ยวกับสิ่งที่คุณกำลังดูและคุณเป็นใคร - เช่นเดียวกันถ้าเครือข่ายที่ไว้ใจของคุณขาด ISP การโจมตีของคนกลาง เหตุผลที่คุณสามารถมีการเข้ารหัสแบบ end-to-end ส่วนตัวในทางทฤษฎีเป็นเพราะใบรับรอง CA กระจายกับเบราว์เซอร์ของคุณ หาก ISP หรือหน่วยงานรัฐบาลสามารถเพิ่มใบรับรอง CA หรือประนีประนอมกับ CA และทั้งคู่เคยเกิดขึ้นในอดีตคุณสูญเสียความปลอดภัย ฉันเชื่อว่า The Great Firewall of China ทำการโจมตี Man-In-The-Middle เพื่ออ่านข้อมูล HTTPS ได้อย่างมีประสิทธิภาพ แต่ก็ไม่นานหลังจากที่ฉันอยู่ที่นั่น

คุณสามารถทดสอบสิ่งนี้ได้อย่างง่ายดายด้วยตัวคุณเองโดยรับซอฟต์แวร์ชิ้นหนึ่งซึ่งจะดมกลิ่นการรับส่งข้อมูลและออกจากคอมพิวเตอร์ของคุณ ฉันเชื่อว่าซอฟต์แวร์ฟรีที่ชื่อว่า Wireshark จะทำสิ่งนี้ให้คุณ


0

ฉันไม่แน่ใจว่านี่เป็นความคิดเห็นหรือคำตอบที่สมควร แต่ฉันต้องการแบ่งปันภาคผนวกหนึ่ง

คำตอบที่นี่แสดงสิ่งที่ควรเกิดขึ้น คำถามคือสามารถอ่านได้ url คำตอบคือใช่แม้ว่ามันจะไม่น่าเป็นไปได้

ผู้โจมตี (บุคคลที่สาม) สามารถสกัดกั้นการรับส่งข้อมูล https ของคุณอย่างแน่นอนและอ่านคำขอทั้งหมดของคุณภายใต้กรณีเฉพาะ ต้องการเรียนรู้เพิ่มเติมผมได้รับเชิญให้คุณอ่านMITMเช่นเดียวกับSSLStrip ฉันสามารถทำสิ่งนี้ได้มากกว่านี้หากจำเป็นเพื่อความเข้าใจ

คุณไม่ควรคาดหวังว่า ISP ของคุณจะทำเช่นนี้เพราะเสียแบนด์วิดท์ แต่ยังเป็นเพราะพวกเขาต้องสูญเสียมากกว่าถ้าคุณต้องค้นหาและฟ้องร้อง อย่างไรก็ตามคำตอบที่แม่นยำยิ่งขึ้นสำหรับคำถามของคุณสามารถทำได้หรือไม่ ใช่แม้ว่าเป็นไปได้ยากที่จะมีใครสนใจพอที่จะดูว่าคุณกำลังทำอะไรกับ Google หรือวิกิพีเดีย

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.