Con gli ISP che ottengono la licenza per registrare e vendere i dati sul traffico dei clienti, perché Google non passa al metodo POST per le query di ricerca per fornire una migliore protezione agli utenti, mentre HTTPS è già utilizzato?
Gli ISP saranno in grado di registrare / vendere query come DNS, che non forniscono informazioni sul contenuto diverso dal nome di dominio.
Se gli ISP registrano il traffico, i dati POST / GET sono altrettanto facili da catturare. Se il traffico viene inviato su HTTPS è altrettanto difficile da catturare. Il tunnel SSL / TLS è sicuro end-to-end indipendentemente dal contenuto che viene trasferito.
L'unico modo in cui gli ISP possono vedere le comunicazioni sicure è a livello personale nel traffico, come ad esempio ottenere l'installazione della propria CA ROOT per consentire loro di eseguire il proxy delle comunicazioni. Ma di nuovo poi vedrebbero comunque tutti i POST / GET.
Sì, ti manca qualcosa. Il canale HTTPS viene aperto per primo, quindi la richiesta GET viene inviata attraverso il tunnel. Non è affatto esposto.
È così: link ...
Non c'è modo in cui l'ISP possa catturare qualcosa dietro il link ... Tutto nel protocollo HTTP, inclusa la richiesta e le intestazioni è crittografato e non importa se è ricevuto o pubblicato. i dati crittografati sono:
GET /search?q=... HTTP/1.1
Host: google.com
....
in caso di post:
POST /search HTTP/1.1
Host: google.com
...
\n
q=....