Dovresti presumere che l'URL non sia protetto, cioè che un intercettatore passivo possa essere in grado di sapere quale URL stai visitando.
Mi rendo conto che ciò contraddice ciò che sostengono alcune altre persone, quindi è meglio che lo spieghi.
È vero che tutto ciò che segue il nome del dominio viene inviato crittografato. Ad esempio, se l'url è https://www.example.com/foo/bar.html
, allora www.example.com
è visibile per l'utente malintenzionato, mentre la richiesta HTTP ( GET /foo/bar.html HTTP/1.0
) è crittografata. Ciò impedisce a un intercettatore di vedere direttamente la parte del percorso dell'URL. Tuttavia, la lunghezza della parte del percorso dell'URL potrebbe essere visibile agli utenti maltrattati. Inoltre, altre informazioni, come la lunghezza della pagina che hai visitato, potrebbero anche essere visibili agli intercettori. Questo è un piede nella porta per l'attaccante. C'è stato qualche ricerca che utilizza questo piede nella porta per scoprire quali URL stai visitando , se l'utente malintenzionato può origliare il tuo traffico https.
Anche se non vi è alcuna garanzia che questi attacchi avranno successo, suggerisco che sarebbe prudente assumere il peggio: assumere che un intercettatore possa essere in grado di sapere quali URL si stanno visitando. Pertanto, dovresti non presumere che SSL / TLS nasconda da un utente che intercetta le pagine che stai visitando.
Sì, https fornisce integrità per l'URL che hai visitato.
P.S. Un altro avvertimento: in pratica, sslstrip e altri attacchi man-in-the-middle potrebbero avere successo contro molti o la maggior parte degli utenti, se il sito web non sta usando HSTS . Tali attacchi possono violare sia la riservatezza che l'integrità dell'URL. Pertanto, se gli utenti visitano siti Web che non utilizzano HSTS su una rete non protetta (ad es., WiFi aperto), dovresti diffidare che un utente malintenzionato sia in grado di sapere quali pagine gli utenti stanno visitando. Una riduzione parziale contro la minaccia sslstrip è per gli utenti di uso HTTPS Ovunque e per i siti di adottare HSTS.