Usando wireshark, sarai in grado di scoprire il nome host, come menzionato da alcune altre risposte, a causa di SNI. Inoltre, sarai in grado di vedere alcune parti dei certificati. Gli URL https che hai visto erano probabilmente gli URL di CRL s o OCSP s.
Se qualcuno può ottenere i tuoi URL camminando sul tuo sito e confrontare le dimensioni delle pagine restituite con le dimensioni di ciò che viene restituito nella pagina crittografata, potrebbero formulare ipotesi su quale pagina ha chiamato il tuo programma. Ma, come vuoi mettere alcuni parametri nell'URL e nasconderli, questo non è un grande vettore di attacco nel tuo caso. Se il tuo URL è https://my.server/api?user=scott&password=tiger&highscore=12345
e la tua API restituisce sempre pagine tra 1000 e 1010 byte, vedere 1007 byte restituiti non aiuterà nessuno a determinare utente o password o come inserire un punteggio.
TUTTAVIA
link fiddler , charles oppure mitmproxy reindirizza il traffico a se stesso, presenta un certificato falso al client, decrittografa il traffico, lo registra, lo crittografa nuovamente e lo invia al sito originale.
Se il client si affida al truststore del sistema operativo, l'utente malintenzionato potrà inserire il proprio certificato nel truststore e il client non noterà nulla. I README degli strumenti di cui sopra hanno istruzioni su come fare questo.
Quindi, se si attiva https per impedire la decrittografia, è necessario verificare se il certificato restituito dal server è corretto prima di inviare effettivamente l'URL. Controlla come blocco dei certificati funziona per il tuo sistema operativo / linguaggio di programmazione e utilizza gli strumenti sopra riportati per assicurarti che il tuo client rilevi un falso certificato e non inviare l'URL prima di pubblicarlo.