it-swarm.asia

هل يتم تشفير رؤوس HTTPS؟

عند إرسال البيانات عبر HTTPS ، أعلم أن المحتوى مشفر ، ومع ذلك أسمع إجابات مختلطة حول ما إذا كانت الرؤوس مشفرة ، أو مقدار تشفير الرأس.

كم من رؤوس HTTPS هي مشفرة؟

بما في ذلك عناوين URL لطلب GET/POST وملفات تعريف الارتباط وما إلى ذلك.

519
Dan Herbert

كله مشفر - كل الرؤوس. لهذا السبب لا يعمل SSL على vhosts جيدًا - تحتاج إلى عنوان IP مخصص لأن رأس المضيف مشفر.

يعني تعريف اسم الخادم (SNI) أن اسم المضيف قد لا يتم تشفيره إذا كنت تستخدم TLS. وأيضًا ، سواء كنت تستخدم SNI أم لا ، لن يتم تشفير TCP ورؤوس IP. (إذا كانت موجودة ، فلن تكون حزمك قابلة للتوجيه.)

481
Greg

يتم تشفير الرؤوس بالكامل. تتعلق المعلومات الوحيدة التي تمر عبر الشبكة "بشكل واضح" بإعداد SSL وتبادل مفتاح D/H. تم تصميم هذا التبادل بعناية بحيث لا ينتج عنه أي معلومات مفيدة للمتطفلين ، وبمجرد حدوثه ، يتم تشفير جميع البيانات.

90
mdb

أضاف HTTP الإصدار 1.1 طريقة HTTP خاصة ، CONNECT - تهدف إلى إنشاء نفق SSL ، بما في ذلك مصافحة البروتوكول الضرورية وإعداد التشفير.
يتم إرسال الطلبات العادية بعد ذلك إلى ملفوفة في نفق SSL والرؤوس والجسم الشامل.

52
AviD

إجابة جديدة على السؤال القديم ، آسف. اعتقدت أنني سأضيف $ 0.20

وسأل البروتوكول الاختياري ما إذا كانت الرؤوس مشفرة.

هم: في العبور.

هم لا: عندما لا تكون في العبور.

لذلك ، يمكن لعنوان URL الخاص بالمتصفح (والعنوان ، في بعض الحالات) عرض querystring (التي تحتوي عادةً على أكثر التفاصيل حساسية) وبعض التفاصيل في الرأس ؛ يعرف المستعرض بعض معلومات الرأس (نوع المحتوى ، يونيكود ، إلخ) ؛ وسيحتوي كل من محفوظات المستعرض وإدارة كلمة المرور المفضلة/الإشارات المرجعية والصفحات المخزنة مؤقتًا على الاستعلام. يمكن أن تحتوي سجلات الخادم على الطرف البعيد أيضًا على querystring بالإضافة إلى بعض تفاصيل المحتوى.

أيضًا ، لا يكون عنوان URL آمنًا دائمًا: يكون المجال والبروتوكول والمنفذ مرئيًا - وإلا فإن أجهزة التوجيه لا تعرف مكان إرسال طلباتك.

أيضًا ، إذا كنت قد حصلت على وكيل HTTP ، فإن الخادم الوكيل يعرف العنوان ، وعادةً ما لا يعرف الاستعلام الكامل.

لذلك إذا كانت البيانات تتحرك ، فهي محمية بشكل عام. إذا لم يكن في العبور ، فهو غير مشفر.

يجب عدم فك تشفير البيانات ، ولكن البيانات الموجودة في النهاية يتم فك تشفيرها ، ويمكن تحليلها أو قراءتها أو حفظها أو إعادة توجيهها أو تجاهلها في الإرادة. ويمكن للبرامج الضارة في كلا الطرفين التقاط لقطات من البيانات التي تدخل (أو تخرج) من بروتوكول SSL - مثل Javascript (السيئة) داخل صفحة داخل HTTPS والتي يمكنها إجراء مكالمات http (أو https) بشكل خفي إلى مواقع تسجيل الدخول (منذ الوصول إلى القرص الصلب المحلي غالبا ما تكون مقيدة وغير مفيدة).

أيضًا ، لا يتم تشفير ملفات تعريف الارتباط بموجب بروتوكول HTTPS ، أيضًا. يحتاج المطورون الذين يريدون تخزين البيانات الحساسة في ملفات تعريف الارتباط (أو أي مكان آخر لهذه المسألة) إلى استخدام آلية التشفير الخاصة بهم.

بالنسبة إلى ذاكرة التخزين المؤقت ، فإن معظم المتصفحات الحديثة لن تخبئ صفحات HTTPS مؤقتًا ، ولكن هذه الحقيقة غير محددة بواسطة بروتوكول HTTPS ، فهي تعتمد اعتمادًا تامًا على مطور المتصفح للتأكد من عدم تخزين الصفحات المخبأة في صفحات HTTPS.

لذلك إذا كنت قلقًا بشأن استنشاق الحزم ، فمن المحتمل أنك بخير. ولكن إذا كنت قلقًا بشأن البرامج الضارة أو أي شخص يتفحص سجلك أو إشاراتك المرجعية أو ملفات تعريف الارتباط أو ذاكرة التخزين المؤقت ، فأنت لست خارج الماء بعد.

50
Andrew Jennings

مع SSL ، يكون التشفير عند مستوى النقل ، لذلك يتم قبل إرسال الطلب.

لذلك كل شيء في الطلب مشفر.

41
blowdart

يرسل HTTPS (HTTP عبر SSL) جميع محتويات HTTP عبر نفق SSL ، إلى محتوى HTTP ويتم تشفير الرؤوس أيضًا.

37
CMS

نعم ، يتم تشفير الرؤوس. إنه مكتوب هنا .

يتم تشفير كل شيء في رسالة HTTPS ، بما في ذلك الرؤوس وتحميل الطلب/الاستجابة.

18
keypress

يتم تشفير عنوان URL أيضًا ، فأنت لا تملك إلا IP ، و Port ، وإذا كان SNI ، فإن اسم المضيف غير مشفر.

6
xxiao