HTTPS crittografa i metadati?

4

HTTPS crittografa i metadati?

Non necessariamente ciò che è presente nella pagina, o annunci o qualcosa del genere, ma è possibile che qualcun altro conosca i metadati, cioè quale sia il nome della scheda o solo il nome del sito web?

    
posta Gooby26 17.11.2016 - 00:22
fonte

3 risposte

8

Does HTTPS encrypt metadata?

TLS crittograferà solo il carico utile. In particolare i seguenti metadati sono ancora disponibili in chiaro:

  • Informazioni sul livello 3/4, in particolare su IP / porta di destinazione e di destinazione della connessione:
    Questo può essere utilizzato per ottenere informazioni sul client, ovvero sulla rete da cui proviene il cliente. Ulteriori informazioni come TTL, numeri di sequenza iniziale, dimensioni della finestra iniziale possono essere utilizzate per il rilevamento delle impronte digitali passive per rilevare il sistema operativo. E l'IP di destinazione può essere usato per ottenere informazioni sul server, cioè ciò che il cliente sta visitando.
  • Il nome del dominio di destinazione se viene utilizzato SNI:
    SNI è utilizzato da tutti i moderni stack TLS almeno per HTTPS. Questo può essere usato per determinare ulteriormente la destinazione della connessione dei client.
  • Suite di cifratura ed estensioni offerte dal client:
    Questo può essere utilizzato per impronte digitali del client, cioè rilevare quale tipo di browser e magari la versione del sistema operativo è utilizzata.
  • Il certificato dei server: questo aggiunge ulteriori informazioni sulla destinazione della connessione e spesso fornisce il nome esatto del dominio anche se SNI non viene utilizzato (come nelle connessioni non HTTTPS).
  • Il certificato client facoltativo:
    poiché potrebbe essere utilizzato per l'autenticazione, aggiunge alcune informazioni utili sul client.
  • Dimensioni e tempistica dei dati trasferiti:
    Mentre le dimensioni esatte potrebbero non essere disponibili quando si esaminano i dati crittografati, è possibile determinare la dimensione approssimativa. Insieme al tempismo e alla direzione del trasferimento (ad esempio il flusso del traffico), questo può essere usato per scoprire quale protocollo può essere pronunciato (HTTP, SMTP, VPN ...) perché i diversi protocolli hanno caratteristiche di flusso diverse. Se utilizzato su HTTPS solo su un sito di destinazione con accesso illimitato, potrebbe anche essere possibile restringere quale delle pagine pubbliche disponibili sul sito ha visitato il cliente.
risposta data 17.11.2016 - 07:10
fonte
2

Il dominio viene trasmesso in chiaro, prima dal client in SNI e poi dal server nel certificato. Il titolo della scheda del browser è crittografato.

L'indirizzo IP, il dominio e l'ora sono tutti i metadati disponibili per chiunque abbia accesso alla tua telco o al tuo ISP. Il generale Michael Hayden, direttore della NSA, ha dichiarato: "Uccidiamo le persone in base ai metadati".

In TLS 1.3, che viene implementato oggi dietro il flag di funzionalità nei browser beta e potrebbe essere completato il processo di standardizzazione e abilitato per impostazione predefinita in sei mesi, crittograferà anche il nome del dominio. Ma questo lascerà ancora due indirizzi IP e il tempo.

    
risposta data 17.11.2016 - 00:29
fonte
0

L'IP e il dominio richiesti (a causa di SNI) sono visibili, ma il resto è crittografato.

    
risposta data 17.11.2016 - 00:28
fonte

Leggi altre domande sui tag