Tất cả các URL có được mã hóa khi sử dụng mã hóa TLS / SSL (HTTPS) không? Tôi muốn biết vì tôi muốn tất cả dữ liệu URL bị ẩn khi sử dụng TLS / SSL (HTTPS).

Nếu TLS / SSL cung cấp cho bạn toàn bộ mã hóa URL thì tôi không phải lo lắng về việc ẩn thông tin bí mật khỏi URL.

Có, kết nối SSL nằm giữa lớp TCP và lớp HTTP. Trước tiên, máy khách và máy chủ thiết lập kết nối TCP được mã hóa an toàn (thông qua giao thức SSL / TLS) và sau đó máy khách sẽ gửi yêu cầu HTTP (GET, POST, DELETE ...) qua kết nối TCP được mã hóa đó.

Vì không ai cung cấp một dây chụp, đây là một.
Tên máy chủ (phần tên miền của URL) được trình bày trong ClientHellogói, dưới dạng văn bản thuần túy .

Sau đây cho thấy một yêu cầu trình duyệt để:
https://i.stack.imgur.com/path/?some=parameters&go=here

Xem câu trả lời này để biết thêm về các trường phiên bản TLS (có 3 trong số chúng - không phải phiên bản, các trường mà mỗi trường chứa một số phiên bản!)

Từ https://www.ietf.org/rfc/rfc3546.txt :

3.1. Tên máy chủ

[TLS] không cung cấp cơ chế cho khách hàng nói với máy chủ tên của máy chủ mà nó đang liên hệ. Khách hàng có thể mong muốn cung cấp thông tin này để tạo điều kiện cho các kết nối an toàn đến các máy chủ lưu trữ nhiều máy chủ "ảo" tại một địa chỉ mạng cơ bản.

Để cung cấp tên máy chủ, khách hàng CÓ THỂ bao gồm một phần mở rộng của loại "server_name" trong ứng dụng khách (mở rộng) xin chào.

Nói ngắn gọn:

• FQDN (phần tên miền của URL) CÓ THỂ được truyền rõ ràng bên trong ClientHellogói nếu sử dụng tiện ích mở rộng SNI

• Phần còn lại của URL ( /path/?some=parameters&go=here) không có doanh nghiệp bên trong ClientHellovì URL yêu cầu là một thứ HTTP (Lớp 7 OSI), do đó, nó sẽ không bao giờ xuất hiện trong một cái bắt tay TLS (Lớp 4 hoặc 5). Điều đó sẽ đến sau này trong một GET /path/?some=parameters&go=here HTTP/1.1yêu cầu HTTP, SAU sự an toàn kênh TLS được thành lập.

TÓM TẮT THỰC HIỆN

Tên miền CÓ THỂ được truyền đi rõ ràng (nếu tiện ích mở rộng SNI được sử dụng trong bắt tay TLS) nhưng URL (đường dẫn và tham số) luôn được mã hóa.

CẬP NHẬT THÁNG 3 NĂM 2019

Cảm ơn bạn carlin.scott đã đưa cái này lên.

Tải trọng trong phần mở rộng SNI hiện có thể được mã hóa thông qua đề xuất RFC dự thảo này . Khả năng này chỉ tồn tại trong TLS 1.3 (dưới dạng tùy chọn và tùy thuộc vào cả hai đầu để thực hiện nó) và không có khả năng tương thích ngược với TLS 1.2 trở xuống.

CloudFlare đang làm điều đó và bạn có thể đọc thêm về các phần bên trong ở đây - Nếu gà phải đến trước trứng, bạn sẽ đặt gà ở đâu?

Trong thực tế, điều này có nghĩa là thay vì truyền FQDN bằng văn bản thuần túy (như chương trình chụp Wireshark), giờ đây nó đã được mã hóa.

LƯU Ý: Điều này giải quyết khía cạnh riêng tư nhiều hơn khía cạnh bảo mật vì việc tra cứu DNS ngược có thể tiết lộ máy chủ đích dự định.

Như các câu trả lời khác đã chỉ ra, https "URL" thực sự được mã hóa. Tuy nhiên, yêu cầu / phản hồi DNS của bạn khi giải quyết tên miền có thể là không, và tất nhiên, nếu bạn đang sử dụng trình duyệt, URL của bạn cũng có thể được ghi lại.

Toàn bộ yêu cầu và phản hồi được mã hóa, bao gồm URL.

Lưu ý rằng khi bạn sử dụng Proxy HTTP, nó sẽ biết địa chỉ (tên miền) của máy chủ đích, nhưng không biết đường dẫn được yêu cầu trên máy chủ này (tức là yêu cầu và phản hồi luôn được mã hóa).

Tôi đồng ý với các câu trả lời trước:

Để được rõ ràng:

Với TLS, phần đầu tiên của URL ( https://www.example.com/ ) vẫn hiển thị khi xây dựng kết nối. Phần thứ hai (/ herearemygetparameter / 1/2/3/4) được bảo vệ bởi TLS.

Tuy nhiên, có một số lý do tại sao bạn không nên đặt tham số trong yêu cầu GET.

Đầu tiên, như đã được đề cập bởi những người khác: - rò rỉ qua thanh địa chỉ trình duyệt - rò rỉ qua lịch sử

Ngoài ra, bạn bị rò rỉ URL thông qua người giới thiệu http: người dùng thấy trang A trên TLS, sau đó nhấp vào liên kết đến trang B. Nếu cả hai trang đều trên TLS, yêu cầu đến trang B sẽ chứa URL đầy đủ từ trang A trong tham số tham chiếu của yêu cầu. Và quản trị viên từ trang B có thể truy xuất nó từ tệp nhật ký của máy chủ B.)

Ngoài ra câu trả lời hữu ích từ Marc Novakowski - URL được lưu trữ trong nhật ký trên máy chủ (ví dụ: trong / etc / httpd / log / ssl_access_log), vì vậy nếu bạn không muốn máy chủ duy trì thông tin lâu hơn hạn, đừng đặt nó trong URL.

Có và không.

Phần địa chỉ máy chủ KHÔNG được mã hóa do được sử dụng để thiết lập kết nối.

Điều này có thể thay đổi trong tương lai với SNI và DNS được mã hóa nhưng đến năm 2018 cả hai công nghệ này không được sử dụng phổ biến.

Đường dẫn, chuỗi truy vấn, vv được mã hóa.

Lưu ý đối với các yêu cầu GET, người dùng vẫn có thể cắt và dán URL ra khỏi thanh vị trí và có thể bạn sẽ không muốn đưa thông tin bí mật vào đó mà bất cứ ai nhìn vào màn hình đều có thể nhìn thấy.

Bên thứ ba đang theo dõi lưu lượng truy cập cũng có thể xác định trang được truy cập bằng cách kiểm tra lưu lượng truy cập của bạn so sánh lưu lượng truy cập mà người dùng khác có khi truy cập trang web. Ví dụ: nếu chỉ có 2 trang trên một trang web, một trang lớn hơn nhiều so với trang kia, thì so sánh kích thước truyền dữ liệu sẽ cho biết trang nào bạn đã truy cập. Có nhiều cách điều này có thể bị ẩn khỏi bên thứ ba nhưng chúng không phải là hành vi bình thường của máy chủ hoặc trình duyệt. Xem ví dụ bài viết này từ SciRate, https://scirate.com/arxiv/1403.0297 .

Nói chung, các câu trả lời khác đều đúng, thực tế mặc dù bài báo này cho thấy các trang được truy cập (tức là URL) có thể được xác định khá hiệu quả.

Bạn cũng không thể luôn tin tưởng vào quyền riêng tư của URL đầy đủ. Chẳng hạn, đôi khi như trên các mạng doanh nghiệp, các thiết bị được cung cấp như PC của công ty bạn được định cấu hình với chứng chỉ gốc "đáng tin cậy" để trình duyệt của bạn có thể tin tưởng một cách kiểm tra lưu lượng truy cập https (trung gian) . Điều này có nghĩa là URL đầy đủ được hiển thị để kiểm tra. Điều này thường được lưu vào một bản ghi.

Hơn nữa, mật khẩu của bạn cũng bị lộ và có thể được ghi lại và đây là một lý do khác để sử dụng mật khẩu một lần hoặc để thay đổi mật khẩu thường xuyên.

Cuối cùng, nội dung yêu cầu và phản hồi cũng được phơi bày nếu không được mã hóa.

Một ví dụ về thiết lập kiểm tra được mô tả bởi Checkpoint tại đây . Một "quán cà phê internet" kiểu cũ sử dụng PC được cung cấp cũng có thể được thiết lập theo cách này.

Liên kết với câu trả lời của tôi trên một câu hỏi trùng lặp . URL không chỉ có sẵn trong lịch sử trình duyệt, phía máy chủ ghi nhật ký mà còn được gửi dưới dạng tiêu đề HTTP Referenceer mà nếu bạn sử dụng nội dung của bên thứ ba, sẽ hiển thị URL cho các nguồn ngoài tầm kiểm soát của bạn.

Bây giờ là năm 2019 và TLS v1.3 đã được phát hành. Theo Cloudflare, SNI có thể được mã hóa nhờ TLS v1.3. Vì vậy, tôi đã nói với bản thân mình tuyệt vời! hãy xem giao diện của các gói TCP của cloudflare.com như thế nào Tôi vẫn có thể đọc tên máy chủ bằng văn bản đơn giản trong gói Hello của khách hàng.

Vì vậy, hãy cẩn thận với những gì bạn có thể đọc bởi vì đây vẫn không phải là một kết nối ẩn danh. Một phần mềm trung gian giữa máy khách và máy chủ có thể ghi nhật ký mọi miền được khách hàng yêu cầu.

Vì vậy, có vẻ như mã hóa của SNI yêu cầu triển khai bổ sung để hoạt động cùng với TLSv1.3

Bài viết sau đây mô tả mã hóa SNI do Cloudflare cung cấp như một phần của TLSv1.3. Tuy nhiên, tất cả các URL HTTP từ cloudflare.com đều ở dạng văn bản thuần trong gói TCP trong TLS v1.3

[ https://blog.cloudflare.com/encrypted-sni/[[3]

Mặc dù đã có một số câu trả lời hay ở đây, nhưng hầu hết chúng đều tập trung vào điều hướng trình duyệt. Tôi đang viết bài này vào năm 2018 và có lẽ ai đó muốn biết về tính bảo mật của ứng dụng di động.

Đối với ứng dụng dành cho thiết bị di động , nếu bạn kiểm soát cả hai đầu của ứng dụng (máy chủ và ứng dụng), miễn là bạn sử dụng HTTPS thì bạn an toàn . iOS hoặc Android sẽ xác minh chứng chỉ và giảm thiểu các cuộc tấn công MiM có thể xảy ra (đó sẽ là điểm yếu duy nhất trong tất cả những điều này). Bạn có thể gửi dữ liệu nhạy cảm thông qua các kết nối HTTPS rằng nó sẽ được mã hóa trong quá trình vận chuyển . Chỉ cần ứng dụng của bạn và máy chủ sẽ biết bất kỳ tham số nào được gửi qua https.

"Có thể" duy nhất ở đây sẽ là nếu máy khách hoặc máy chủ bị nhiễm phần mềm độc hại có thể xem dữ liệu trước khi được bọc trong https. Nhưng nếu ai đó bị nhiễm loại phần mềm này, họ sẽ có quyền truy cập vào dữ liệu, bất kể bạn sử dụng gì để vận chuyển nó.

Ngoài ra, nếu bạn đang xây dựng API ReSTful, các sự cố rò rỉ trình duyệt và giới thiệu http chủ yếu được giảm thiểu vì máy khách có thể không phải là trình duyệt và bạn có thể không có người nhấp vào liên kết.

Nếu đây là trường hợp tôi khuyên bạn nên đăng nhập oAuth2 để lấy mã thông báo mang. Trong trường hợp đó, dữ liệu nhạy cảm duy nhất sẽ là thông tin xác thực ban đầu ... có lẽ nên có trong một yêu cầu bài viết

Mặc dù bạn đã có câu trả lời rất hay, tôi thực sự thích lời giải thích trên trang web này: https://https.cio.gov/faq/#what-inif-does-https-protect

Tóm lại: sử dụng ẩn HTTPS:

• Phương thức HTTP
• thông số truy vấn
• POST cơ thể (nếu có)
• Tiêu đề yêu cầu (bao gồm cookie)
• Mã trạng thái