18Aug

Les tiers peuvent-ils lire l'URL complète lors de la navigation via HTTPS?


Lorsque vous visitez un site Web en toute sécurité via https: // les données envoyées entre le serveur et votre navigateur sont cryptées, mais qu'en est-il des URL que vous visitez sur ce site? Votre FAI ou un autre observateur tiers peut-il voir ce que vous regardez?

Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.

La question

Un lecteur SuperUser anonyme veut savoir si leurs sessions de navigation sont complètement sécurisées:

Nous savons tous que HTTPS crypte la connexion entre l'ordinateur et le serveur afin qu'il ne puisse pas être vu par un tiers. Cependant, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l'utilisateur a accédé?

Par exemple, je visite:

https: //www.website.com/data/ abc.html

Le FAI sait-il que j'ai accédé * /data/ abc.html ou sachez simplement que j'ai visité l'IP de www.website.com?

S'ils le savent, alors pourquoi Wikipedia et Google ont-ils HTTPS quand quelqu'un peut simplement lire les journaux Internet et trouver le contenu exact que l'utilisateur a vu?

Une question intéressante qui a certainement des implications pour la vie privée. Cherchons.

La réponse

SuperUser contributeur Grawity offre un aperçu très concis de la façon dont l'URL complète est traitée en cours de route:

De gauche à droite:

Le schéma https: est, évidemment, interprété par le navigateur.

Le nom de domaine www.website.com est résolu en une adresse IP utilisant DNS.Votre ISP verra la requête DNS pour ce domaine, et la réponse.

Le chemin /data/ abc.html est envoyé dans la requête HTTP.Si vous utilisez HTTPS, sera chiffré avec le reste de la requête et de la réponse HTTP.

La chaîne de requête ? This = qui, si présente dans l'URL, est envoyée dans la requête HTTP - avec le chemin. Donc c'est aussi crypté.

Le fragment #there, s'il est présent, n'est envoyé nulle part - il est interprété par le navigateur( parfois par JavaScript sur la page retournée).

En bref, tout ce qui se trouve à la droite du nom de domaine est crypté par la session HTTPS et reste invisible pour votre FAI ou toute autre personne regardant vos activités.

Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.