Các tiêu đề HTTPS có được mã hóa không?

Khi gửi dữ liệu qua HTTPS, tôi biết nội dung được mã hóa, tuy nhiên tôi nghe thấy các câu trả lời hỗn hợp về việc các tiêu đề được mã hóa hay bao nhiêu tiêu đề được mã hóa.

Có bao nhiêu tiêu đề HTTPS được mã hóa?

Bao gồm URL yêu cầu GET / POST, Cookies, v.v.

Toàn bộ lô được mã hóa ^† - tất cả các tiêu đề. Đó là lý do tại sao SSL trên vhost không hoạt động tốt - bạn cần một địa chỉ IP chuyên dụng vì tiêu đề Máy chủ được mã hóa.

^† Server Name Xác (SNI) có nghĩa là tiêu chuẩn mà tên máy có thể không được mã hóa nếu bạn đang sử dụng TLS. Ngoài ra, cho dù bạn có sử dụng SNI hay không, các tiêu đề TCP và IP không bao giờ được mã hóa. (Nếu có, các gói của bạn sẽ không thể định tuyến được.)

Các tiêu đề được mã hóa hoàn toàn. Thông tin duy nhất trên mạng 'rõ ràng' có liên quan đến thiết lập SSL và trao đổi khóa D / H. Trao đổi này được thiết kế cẩn thận để không mang lại bất kỳ thông tin hữu ích nào cho những kẻ nghe trộm, và một khi nó đã diễn ra, tất cả dữ liệu được mã hóa.

Câu trả lời mới cho câu hỏi cũ, xin lỗi. Tôi nghĩ tôi sẽ thêm $ 0,02 của mình

OP hỏi nếu các tiêu đề được mã hóa.

Đó là: quá cảnh.

Họ KHÔNG: khi không quá cảnh.

Vì vậy, URL của trình duyệt của bạn (và tiêu đề, trong một số trường hợp) có thể hiển thị chuỗi truy vấn (thường chứa các chi tiết nhạy cảm nhất) và một số chi tiết trong tiêu đề; trình duyệt biết một số thông tin tiêu đề (loại nội dung, unicode, v.v.); và lịch sử trình duyệt, quản lý mật khẩu, mục yêu thích / dấu trang và các trang được lưu trong bộ nhớ cache đều sẽ chứa chuỗi truy vấn. Nhật ký máy chủ ở đầu xa cũng có thể chứa chuỗi truy vấn cũng như một số chi tiết nội dung.

Ngoài ra, URL không phải lúc nào cũng an toàn: tên miền, giao thức và cổng hiển thị - nếu không các bộ định tuyến không biết gửi yêu cầu của bạn ở đâu.

Ngoài ra, nếu bạn đã có proxy HTTP, máy chủ proxy sẽ biết địa chỉ, thông thường họ không biết chuỗi truy vấn đầy đủ.

Vì vậy, nếu dữ liệu đang di chuyển, nó thường được bảo vệ. Nếu nó không quá cảnh, nó không được mã hóa.

Không chọn nit, nhưng dữ liệu ở cuối cũng được giải mã và có thể được phân tích cú pháp, đọc, lưu, chuyển tiếp hoặc loại bỏ theo ý muốn. Và, phần mềm độc hại ở hai đầu có thể chụp nhanh dữ liệu nhập (hoặc thoát) giao thức SSL - chẳng hạn như Javascript (xấu) bên trong một trang bên trong HTTPS, có thể lén lút thực hiện các cuộc gọi http (hoặc https) đến các trang web ghi nhật ký (kể từ khi truy cập vào ổ cứng cục bộ thường bị hạn chế và không hữu ích).

Ngoài ra, cookie cũng không được mã hóa theo giao thức HTTPS. Các nhà phát triển muốn lưu trữ dữ liệu nhạy cảm trong cookie (hoặc bất kỳ nơi nào khác cho vấn đề đó) cần sử dụng cơ chế mã hóa của riêng họ.

Đối với bộ đệm, hầu hết các trình duyệt hiện đại sẽ không lưu các trang HTTPS, nhưng thực tế đó không được xác định bởi giao thức HTTPS, nó hoàn toàn phụ thuộc vào nhà phát triển trình duyệt để đảm bảo không lưu các trang bộ đệm nhận được thông qua HTTPS.

Vì vậy, nếu bạn lo lắng về việc đánh hơi gói tin, có lẽ bạn vẫn ổn. Nhưng nếu bạn lo lắng về phần mềm độc hại hoặc ai đó chọc vào lịch sử, dấu trang, cookie hoặc bộ nhớ cache của bạn, bạn vẫn chưa ra khỏi nước.

Phiên bản HTTP 1.1 đã thêm một phương thức HTTP đặc biệt, CONNECT - nhằm tạo đường hầm SSL, bao gồm bắt tay giao thức cần thiết và thiết lập mật mã.
Các yêu cầu thường xuyên sau đó tất cả được gửi được bọc trong đường hầm SSL, bao gồm các tiêu đề và cơ thể.

Với SSL, mã hóa ở mức vận chuyển, vì vậy nó diễn ra trước khi yêu cầu được gửi.

Vì vậy, mọi thứ trong yêu cầu đều được mã hóa.

HTTPS (HTTP qua SSL) gửi tất cả nội dung HTTP qua đường dẫn SSL, do đó, nội dung và tiêu đề HTTP cũng được mã hóa.

Có, tiêu đề được mã hóa. Nó được viết ở đây .

Mọi thứ trong thông điệp HTTPS đều được mã hóa, bao gồm các tiêu đề và tải yêu cầu / phản hồi.

URL cũng được mã hóa, bạn thực sự chỉ có IP, Cổng và nếu SNI, tên máy chủ không được mã hóa.