Sì, qualsiasi valore in un'istruzione GET o dati POST (ad esempio ?user=ANYTHING
), viene crittografato una volta negoziate le sessioni SSL / TLS.
Durante una connessione TLS, la prima cosa che accade è un messaggio "Client Hello" che inizia a negoziare i codici di crittografia / cifratura per stabilire una connessione. Su alcuni browser, il nome host viene inviato utilizzando il protocollo SNI prima di stabilire la sessione. Inoltre, se si utilizza un proxy HTTP esplicito (configurato dalle impostazioni del browser, criterio di gruppo) il nome host semplice inviato tramite un'istruzione CONNECT trasmessa in testo semplice. Tuttavia, è solo il nome host che viene inviato nello scenario più dettagliato, mai la pagina richiesta o i dati POST.
Dopo che la sessione è stata negoziata, viene emesso il tradizionale comando GET HTTP. Questo comando viene inviato su una sessione TLS, quindi i dati sono crittografati e non vulnerabili a facili intercettazioni.
Puoi dare un'occhiata qui per ulteriori dettagli .