18Aug
Wenn Sie eine Website über https: // sicher besuchen, werden die zwischen dem Server und Ihrem Browser gesendeten Daten verschlüsselt, aber was ist mit den URLs, die Sie auf der Website besuchen? Kann Ihr ISP oder ein anderer Beobachter von Dritten sehen, was Sie sehen?
Heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Die Frage
Ein anonymer SuperUser-Leser möchte wissen, ob seine Browsersitzungen vollständig sicher sind:
Wir alle wissen, dass HTTPS die Verbindung zwischen dem Computer und dem Server verschlüsselt, so dass er nicht von Dritten eingesehen werden kann. Kann der ISP oder ein Dritter jedoch den genauen Link der Seite sehen, auf die der Benutzer zugegriffen hat?
Zum Beispiel besuche ich:
https: //www.website.com/data/ abc.html
Wird der ISP wissen, dass ich auf * /data/ abc.html zugegriffen habe oder nur weiß, dass ich die IP von www.website.com besucht habe?
Wenn sie wissen, warum haben Wikipedia und Google HTTPS, wenn jemand nur die Internetprotokolle lesen und den genauen Inhalt herausfinden kann, den der Benutzer gesehen hat?
Eine interessante Frage, die sicherlich Auswirkungen auf die Privatsphäre hat. Lassen Sie uns untersuchen.
Der Antwort-
SuperUser-Mitwirkender Grawity bietet einen sehr übersichtlichen Überblick darüber, wie die vollständige URL auf dem Weg verarbeitet wird:
Von links nach rechts:
Das -Schema https: wird offensichtlich vom Browser interpretiert.
Der -Domänenname www.website.com wird mithilfe von DNS in eine IP-Adresse aufgelöst. Ihr ISP wird die DNS-Anfrage für diese Domain und die Antwort sehen.
Der -Pfad /data/ abc.html wird in der HTTP-Anfrage gesendet. Wenn Sie HTTPS verwenden, wird zusammen mit dem Rest der HTTP-Anforderung und -Antwort mit verschlüsselt.
Der -Query-String ? This = dass, falls in der URL vorhanden, in der HTTP-Anfrage gesendet wird - zusammen mit dem Pfad. Es ist also auch verschlüsselt.
Das -Fragment # wird, falls vorhanden, nicht gesendet - es wird vom Browser interpretiert( manchmal per JavaScript auf der zurückgegebenen Seite).
Kurz gesagt, alles auf der rechten Seite des Domänennamens wird durch die HTTPS-Sitzung verschlüsselt und bleibt für Ihren ISP oder jeden anderen, der in Ihre Aktivitäten schaut, unsichtbar.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.