Quali parti hanno accesso all'URL * pieno * richiesto di un sito web a cui si accede tramite il protocollo HTTPS? [duplicare]

Naviga le tue risposte
14

Quali parti hanno accesso all'URL richiesto completo di un sito web accessibile tramite il protocollo HTTPS?

Ecco alcune possibilità a cui posso pensare, e potrebbero essercene di più:

  1. dispositivo locale che accede al sito web
  2. router
  3. Modem
  4. provider di rete locale (cablato o wireless)
  5. ISP
  6. ogni salto su Internet verso la destinazione
  7. fratello maggiore
  8. destinazione ISP
  9. provider di rete locale di destinazione (in genere cablato, ma può essere wireless)
  10. modem di destinazione
  11. router di destinazione
  12. host di destinazione

Tieni presente che questa domanda riguarda specificamente l'URL richiesto completo , che include la pagina specifica a cui si accede e tutti i parametri che vengono passati tramite l'URL.

Inoltre, ci sono passaggi lungo il percorso che non avrebbero accesso all'intestazione della richiesta HTTPS completa?

    
posta RockPaperLizard 03.05.2017 - 20:34
fonte

1 risposta

33

Solo gli endpoint TLS 1 possono leggere l'URL completo perché HTTPS fornisce la crittografia end-to-end.

HTTPS racchiude il protocollo HTTP completo, tra cui la riga di richiesta, il corpo richiesta / risposta e tutte le intestazioni. L'URL della richiesta è solo una parte di HTTP che viene crittografata insieme a tutti gli altri componenti. Se una delle parti fosse in grado di leggere l'URL, avrebbe naturalmente anche accesso al traffico HTTP completo.

Per essere chiari, ci sono ancora molti modi in cui l'URL potrebbe essere divulgato inavvertitamente:

  • Quando ti allontani da un sito facendo clic su un link, per impostazione predefinita il browser invierà un'intestazione Referer contenente l'URL precedente, che viene quindi divulgato al sito che stai cercando.

  • I plug-in del browser potrebbero inviare i tuoi URL visitati da qualche parte per analisi o per venderli.

  • Prodotti di sicurezza o firewall aziendali che eseguono l'intercettazione "legittima" di HTTPS (implicando che hai attivamente installato e attendibile il loro certificato di origine) potrebbero leggere il tuo traffico HTTP e quindi apprendere l'URL.

  • L'host del sito di destinazione (ma non l'intero URL) verrebbe normalmente divulgato a un potenziale intercettore dovuto a HTTPS SNI e la query DNS del cliente.

Ma assumendo una configurazione corretta senza perdite di canale laterali, l'URL della richiesta passa semplicemente attraverso il tunnel TLS come tutto il resto trasmesso.

1 Nel tuo esempio, questi sono probabilmente il dispositivo locale (1.) e l' host di destinazione (12.) . Come sottolinea @Bob, la connessione TLS potrebbe anche terminare con un bilanciamento del carico o qualche altra forma di proxy.

    
risposta data 03.05.2017 - 20:56
fonte

Leggi altre domande sui tag

Come proteggere localmente il codice sorgente quando si viaggia con esso [duplicato] Monitoraggio delle chiamate di sistema (in modo affidabile e sicuro)