SSL接続でPOSTデータが暗号化されていますか?

13

SSLを使用するようにWebサーバーを設定しました(公開サーバーに移動する前に、ステージングシナリオにWAMPを使用しています)。当面のサイトの目的は成功し、HTTPSプロトコルを使用してリモートコンピューターからサイトを使用することができます。

私のユーザー(テスター)の1人が思いついたのは、POSTデータに関するものでした。彼のテストシナリオでは、彼は潜在的なクライアントの1つにオンサイトで参加し、非常にうるさい企業ファイアウォールの背後にあるサイトにアクセスしています(このサイトがAUPにどのように適用されるかは既に検討済みで、クリーンです)。彼はFirebugを使用してPOSTおよびGETデータを監視するFireFoxでサイトを実行しています。質問はこちらです:

彼のFirebugウィンドウでは、XMLHTTPRequestからのPOSTと応答がプレーンテキストで返されています。それは、彼が安全な接続を開始した人だったからでしょうか?POST / Responseデータはネットワーク管理者またはログに表示されますか?

ここでの意図は、管理者を欺くことやポリシーを回避することではないことに注意してください。これは、機密データを送信する必要があるさまざまな場所にいる現場の人を対象としたアプリケーションです。使用方法は、発生するすべてのネットワークインフラストラクチャと調整されます。

ssl  https  encryption 
ホーヌス・ワーグナー
ソース
URLとクエリ文字列も暗号化されています
ニールマクギガン
簡単なテストとスニッフィングツールの適切な使用として、tshark / WireSharkを使用してhttp.request.uriに基づいてフィルタリングすると、httpsで作業するときに表示するものが何もないことがわかります。一方、http経由で同じリクエストを送信すると、すべてが表示されます。
マジヤール

回答:

20

はい、POSTデータは暗号化する必要があります。HTTP要求のすべては、SSL会話で暗号化する必要があります。Firebugは、ブラウザでSSLデータが復号化された後に情報を取得します。確認したい場合は、FiddlerWebScarabなどをプロキシとして使用しますが、SSLでうまくプレイするにはゲームをプレイする必要があるかもしれません。Fiddlerを使用してHTTPSトラフィック復号化する方法に関するページを次に示します

スクイルマン
ソース
3
暗号化をまったく疑っている場合は、クライアントにWiresharkを投げてトラフィックを嗅ぎます。
エヴァンアンダーソン
Fiddlerをチェックし、HTTPSデータとHTTPデータのPOSTSとGETSを比較し、POSTSとGETSが安全であることを確認しました。ありがとう!
ホーヌスワーグナー
@Evan Wiresharkで何を探すべきですか?
ホーヌスワーグナー
3
@Honus:ごみを探しています:)。データが暗号化されていない場合、Wiresharkで表示できます。暗号化されている場合-暗号化された(読み取り不可の)データが表示されます。
晴れ
1
@Honus:Wiresharkはパケットアナライザーであるため、回線を通過するすべてのパケットを表示できます。アプリレベルのプロトコルに関係なく、すべてのネットワークトラフィックを表示できます。探しているものをより簡単に確認できるように項目を絞り込むことができるフィルター(HTTP用のものを含む)があります。
squillman
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.