攻撃者はHTTPSでURLのデータを盗聴できますか?

回答:

27

HTTP要求(および応答)全体が、URLを含めて暗号化されます。

しかし、はい、リファラーヘッダーを介して、攻撃者が完全なURLを取得する方法があります。HTTPSを使用していない外部ファイル(Javscript、CSSなど)がある場合、リファラーヘッダーで完全なURLが探知される可能性があります。ユーザーがHTTP(SSLなし)ページにつながるページ内のリンクをクリックした場合も同じです。

また、DNS要求は暗号化されないため、攻撃者はユーザーがmysite.comにアクセスしていることを知る可能性があります。

ジュリアン
ソース
「完全なURL」と言うとき、それにはパラメーターが含まれますか(例:mysecretstring = 1234)?
サンパブロクパー
RefererヘッダにパラメータがURLである場合、それを見ることができる
chmeee
1
そのため、外部イメージ、CSS、JSはロードしません。秘密の文字列を使用/保存し、内部的にリダイレクトして秘密の文字列を取り除きます。その後、外部URLを使用できます。
ニールマクギガン
14

いいえ、彼らは接続、すなわちmysite.comを見ることができますが、?mysecretstring = 1234はhttpsはサーバー間です

クリス
ソース
6
実際、彼らはあなたがどのドメイン名に接続しているのか、さらにはどのIPアドレスを見ることもできません。SSL証明書は、ドメイン名とIPアドレスの1:1の関係でのみ合理的に機能するため、これはおそらく無関係です。また、攻撃者がDNSトラフィックを盗聴できる場合、これが明らかになる可能性があります。GETおよびPOSTパラメーターは、HTTPSトラフィックと同じくらい安全です。クライアントであり、サーバー証明書が有効で妥協しない場合、データは第三者による盗聴に対して安全です。
ポール
0

暗号化キーが必要です。理論的にはこれは不可能ですが、良い攻撃は可能です。これは、サーバーとの間で送受信されるすべてのデータを暗号化して、盗聴できないようにするSSLの全体的な目的です。

クリス
ソース
0

ウェブログを安全に保管するか、書き込みさえしないでください。ログを読み取ることができるリモートエクスプロイトを取得すると、ログにURLデータが表示されます。

投稿データはログにありません。
ライアー
これらはすべて、構成に大きく依存しています=)
スペースダイバー
-1

何らかのスプーフィングを通じてhttps認証を傍受できる場合のみ

ジムスミッカ
ソース
中間者攻撃を意味しますか?これはスニッフィング以上のものであり、攻撃者はサーバーになりすます必要があります。
ジュリアン
よく握手のためにそのMiM型が、それだけで盗聴された後、特定のツールは、私が立証見たハムスターやフェレットである
Jimsmithkka
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.