Sont HTTPS en-têtes crypté?
Lors de l'envoi de données via le protocole HTTPS, je sais que le contenu est crypté, mais j'entends des réponses mitigées quant à savoir si les en-têtes sont cryptées, ou comment une grande partie de l'en-tête est crypté.
Combien de HTTPS en-têtes sont crypté?
Y compris GET/POST de demande d'Url, Cookies, etc.
- Les en-Têtes HTTP en HTTPS sont cryptées, et aussi de ne pas HTTP Comprimé (même si le corps est). Cela les rend moins vulnérables à la compression liée à des attaques comme BÊTE
Vous devez vous connecter pour publier un commentaire.
L'ensemble du lot est crypté† - tous les en-têtes.
C'est pourquoi le protocole SSL sur serveur virtuel ne fonctionne pas trop bien, mais vous avez besoin d'une adresse IP dédiée, car l'en-tête d'Hôte est crypté.
†Le Nom du Serveur d'Identification (SNI) la norme signifie que le nom d'hôte ne peut pas être chiffré si vous êtes à l'aide de TLS. Aussi, si vous utilisez la SNI ou pas, les protocoles TCP et IP en-têtes ne sont jamais chiffrés. (Si elles l'étaient, vos paquets ne serait pas routable.)
Les en-têtes sont entièrement cryptées. La seule information sur le réseau 'en clair' est lié à la configuration de SSL et D/H de l'échange de clés. Cet échange est conçu avec soin à ne pas céder toute information utile pour les oreilles indiscrètes, et une fois qu'il a eu lieu, toutes les données sont cryptées.
HTTP version 1.1 ajoute un méthode HTTP, CONNECTEZ - destiné à créer le tunnel SSL, y compris les mesures de protocole de poignée de main et de chiffrement de l'installation.
Les demandes régulières par la suite, tous envoyés enveloppé dans le tunnel SSL, les en-têtes et le corps inclusive.
Nouvelle réponse à la vieille question, désolé. Je pensais que je voudrais ajouter mon $.02
L'OP a demandé si les en-têtes ont été chiffrés.
Ils sont en transit.
Ils ne le sont PAS: lorsqu'il n'est pas en transit.
Donc, URL de votre navigateur (et le titre, dans certains cas) peut afficher la chaîne de requête (qui contiennent généralement les plus sensibles de détails) et quelques détails dans l'en-tête; le navigateur connaît quelques informations d'en-tête (type de contenu, unicode, etc); et l'historique du navigateur, gestion des mots de passe, favoris/signets et les pages mises en cache seront tous contiennent la chaîne de requête. Les journaux de serveur sur l'hôte distant peut également contenir de la chaîne de recherche ainsi que certains détails du contenu.
Aussi, l'URL n'est pas toujours sûr: le domaine, le protocole et le port sont visibles autrement routeurs ne sais pas où envoyer vos demandes.
Aussi, si vous avez un proxy HTTP, le serveur proxy connaît l'adresse, généralement ils ne savent pas la totalité de la chaîne de recherche.
Donc, si les données sont en mouvement, il est généralement protégé. Si ce n'est pas en transit, il n'est pas chiffrée.
De ne pas la petite bête, mais les données à la fin est également décrypté, et peut être analysé, lire, enregistré, transmis ou jeté à volonté. Et, les logiciels malveillants à chaque extrémité pouvez prendre des instantanés de données entrant (ou sortant) le protocole SSL - tels que les (mauvais) Javascript à l'intérieur d'une page à l'intérieur de HTTPS qui peut subrepticement faire http (ou https) appelle à l'enregistrement des sites web (puisque l'accès aux locaux de disque dur est souvent restreint et pas utile).
Aussi, les cookies ne sont pas cryptées sous le protocole HTTPS, soit. Les développeurs souhaitent stocker des données sensibles dans des cookies (ou n'importe où ailleurs pour cette matière) doivent utiliser leur propre mécanisme de chiffrement.
De cache, la plupart des navigateurs modernes ne cache pages HTTPS, mais ce fait n'est pas définie par le protocole HTTPS, il dépend entièrement de ce que le développeur d'un navigateur pour être sûr de ne pas mettre en cache les pages reçues via le protocole HTTPS.
Donc, si vous êtes inquiet au sujet de reniflage de paquets, vous êtes probablement d'accord. Mais si vous êtes inquiet au sujet de logiciels malveillants ou de quelqu'un, piquer à travers votre histoire, les signets, les cookies, ou de cache, vous n'êtes pas hors de l'eau encore.
Avec SSL, le cryptage est au niveau du transport, si elle a lieu avant l'envoi d'une requête.
Donc, tout dans la demande est crypté.
HTTPS (HTTP over SSL) envoie tout le contenu HTTP sur SSL tunel, de sorte que l'adresse HTTP du contenu et les en-têtes sont cryptées.
Oui, les en-têtes sont cryptées. Il est écrit ici.
l'URL est également crypté, vous avez vraiment seulement l'IP, le Port et si le SNI, le nom de l'hôte ne sont pas cryptées.