I valori GET sono anche crittografati / protetti da SSL?

5

Ad esempio inviamo un modulo sul seguente sito:

link (crittografato SSL)

Quindi il modulo viene inviato come metodo GET, quindi diventa così:

link

Se l'utente utilizza la connessione VPN o se l'ISP sta monitorando l'utente, può vedere questo "QUALCHE COSA"?

I know posted forms are secured when using SSL, But can't they just see the FULL URL user is visiting and get the "ANYTHING" value from it?

    
posta Ara 13.08.2015 - 21:43
fonte

2 risposte

9

Sì, qualsiasi valore in un'istruzione GET o dati POST (ad esempio ?user=ANYTHING ), viene crittografato una volta negoziate le sessioni SSL / TLS.

Durante una connessione TLS, la prima cosa che accade è un messaggio "Client Hello" che inizia a negoziare i codici di crittografia / cifratura per stabilire una connessione. Su alcuni browser, il nome host viene inviato utilizzando il protocollo SNI prima di stabilire la sessione. Inoltre, se si utilizza un proxy HTTP esplicito (configurato dalle impostazioni del browser, criterio di gruppo) il nome host semplice inviato tramite un'istruzione CONNECT trasmessa in testo semplice. Tuttavia, è solo il nome host che viene inviato nello scenario più dettagliato, mai la pagina richiesta o i dati POST.

Dopo che la sessione è stata negoziata, viene emesso il tradizionale comando GET HTTP. Questo comando viene inviato su una sessione TLS, quindi i dati sono crittografati e non vulnerabili a facili intercettazioni.

Puoi dare un'occhiata qui per ulteriori dettagli .

    
risposta data 13.08.2015 - 21:51
fonte
2

Quando una connessione è crittografata con SSL, l'intero contenuto della connessione è crittografato, inclusi i valori GET.

    
risposta data 13.08.2015 - 21:51
fonte

Leggi altre domande sui tag