Ad esempio inviamo un modulo sul seguente sito:
link (crittografato SSL)
Quindi il modulo viene inviato come metodo GET, quindi diventa così:
Se l'utente utilizza la connessione VPN o se l'ISP sta monitorando l'utente, può vedere questo "QUALCHE COSA"?
I know posted forms are secured when using SSL, But can't they just see the FULL URL user is visiting and get the "ANYTHING" value from it?
Sì, qualsiasi valore in un'istruzione GET o dati POST (ad esempio ?user=ANYTHING ), viene crittografato una volta negoziate le sessioni SSL / TLS.
Durante una connessione TLS, la prima cosa che accade è un messaggio "Client Hello" che inizia a negoziare i codici di crittografia / cifratura per stabilire una connessione. Su alcuni browser, il nome host viene inviato utilizzando il protocollo SNI prima di stabilire la sessione. Inoltre, se si utilizza un proxy HTTP esplicito (configurato dalle impostazioni del browser, criterio di gruppo) il nome host semplice inviato tramite un'istruzione CONNECT trasmessa in testo semplice. Tuttavia, è solo il nome host che viene inviato nello scenario più dettagliato, mai la pagina richiesta o i dati POST.
Dopo che la sessione è stata negoziata, viene emesso il tradizionale comando GET HTTP. Questo comando viene inviato su una sessione TLS, quindi i dati sono crittografati e non vulnerabili a facili intercettazioni.
Puoi dare un'occhiata qui per ulteriori dettagli .
Quando una connessione è crittografata con SSL, l'intero contenuto della connessione è crittografato, inclusi i valori GET.
Leggi altre domande sui tag encryption tls