L'URL è visibile dall'ISP prima che la richiesta HTTP sia reindirizzata a HTTPS 301?

Naviga le tue risposte
19

Diciamo che inserisco http://domain.com/... come URL. Il server domain.com esegue un reindirizzamento 301 di tutte le richieste HTTP alla versione HTTPS, quindi mi mostra https://domain.com/... .

Il mio ISP può vedere l'intero URL (non solo il nome di dominio) che ho inserito con HTTP quando ho fatto la richiesta (se sta monitorando il traffico)?

    
posta Mike Fawles 02.10.2015 - 14:35
fonte

4 risposte

21

Sì.

Questa è la ragione per cui funziona SslStrip . (Va bene, uno dei motivi.)

HTTP è chiaro. Quindi anche il 301 è chiaro. Chiunque stia ascoltando con es. Wireshark sarà in grado di vedere questo. (Prova per te stesso nello stesso host. È facile.)

    
risposta data 02.10.2015 - 14:41
fonte
15

Sì, l'ISP può vedere l'intero URL come richiesta prima che il reindirizzamento a HTTPS sia semplice HTTP.

HTTP Strict Transport Security (HSTS) sta tentando di risolvere il problema inviando al server la notifica al browser di connettersi solo tramite HTTPS. Naturalmente, la prima richiesta di un sito abilitato HSTS è ancora non criptata, perché il browser non conosce la politica HSTS del sito. I fornitori di browser stanno tentando di risolverlo mantenendo gli elenchi di siti abilitati HSTS.

Se è solo per la tua sicurezza (e non in generale), puoi anche utilizzare HTTPS Everywhere , un plug-in per la maggior parte dei browser che ha un elenco di siti che sono noti per supportare correttamente HTTPS e puoi e dovresti aggiungere siti che non sono ancora nella lista ma supportano HTTPS, poiché questo progetto è guidato dalla comunità.

    
risposta data 02.10.2015 - 17:59
fonte
6

Per aggiungere alla risposta @ StackzOfZtuff (non posso ancora commentare, altrimenti vorrei), prima di HTTP e molto prima che entri in gioco SSL / TLS, l'handshake TCP è visibile facendo riferimento all'host reale e alla natura della richiesta. Successivamente, il tuo cliente HELO al server web è visibile, sebbene l'URL stesso non sia presentato. I tuoi dati, compreso il GET effettivo, vengono crittografati una volta effettuato lo scambio di chiavi SSL tra te e il server. A quel punto ci sono già circa 9 pacchetti nella sequenza.

Nelle situazioni in cui HTTP sta reindirizzando a HTTPS, quella risposta 301 dal server per inviarti all'URL HTTPS pertinente non avviene finché il tuo browser non ha inviato "GET /.txt" in chiaro. Inoltre, la risposta 301 con URL è completamente visibile, poiché viene anche inviata su HTTP non crittografato.

    
risposta data 02.10.2015 - 17:55
fonte
0

Sì, il tuo ISP può vedere l'URL della tua richiesta HTTP perché l'URL è stato inviato in chiaro.

Inoltre, il tuo ISP potrebbe essere in grado di vedere il nome host dell'URL anche dopo aver effettuato il passaggio a HTTPS se il sito web utilizza SNI ( link ) che è uno scenario sempre più probabile in natura. Ad esempio ( link )

    
risposta data 03.10.2015 - 04:35
fonte

Leggi altre domande sui tag

Rilevamento e prevenzione del comportamento di "casa del telefono" nei file PDF Kerberos vs. LDAP per l'autenticazione - quale è più sicuro