18Aug
Lorsque vous visitez un site Web en toute sécurité via https: // les données envoyées entre le serveur et votre navigateur sont cryptées, mais qu'en est-il des URL que vous visitez sur ce site? Votre FAI ou un autre observateur tiers peut-il voir ce que vous regardez?
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
La question
Un lecteur SuperUser anonyme veut savoir si leurs sessions de navigation sont complètement sécurisées:
Nous savons tous que HTTPS crypte la connexion entre l'ordinateur et le serveur afin qu'il ne puisse pas être vu par un tiers. Cependant, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l'utilisateur a accédé?
Par exemple, je visite:
https: //www.website.com/data/ abc.html
Le FAI sait-il que j'ai accédé * /data/ abc.html ou sachez simplement que j'ai visité l'IP de www.website.com?
S'ils le savent, alors pourquoi Wikipedia et Google ont-ils HTTPS quand quelqu'un peut simplement lire les journaux Internet et trouver le contenu exact que l'utilisateur a vu?
Une question intéressante qui a certainement des implications pour la vie privée. Cherchons.
La réponse
SuperUser contributeur Grawity offre un aperçu très concis de la façon dont l'URL complète est traitée en cours de route:
De gauche à droite:
Le schéma https: est, évidemment, interprété par le navigateur.
Le nom de domaine www.website.com est résolu en une adresse IP utilisant DNS.Votre ISP verra la requête DNS pour ce domaine, et la réponse.
Le chemin /data/ abc.html est envoyé dans la requête HTTP.Si vous utilisez HTTPS, sera chiffré avec le reste de la requête et de la réponse HTTP.
La chaîne de requête ? This = qui, si présente dans l'URL, est envoyée dans la requête HTTP - avec le chemin. Donc c'est aussi crypté.
Le fragment #there, s'il est présent, n'est envoyé nulle part - il est interprété par le navigateur( parfois par JavaScript sur la page retournée).
En bref, tout ce qui se trouve à la droite du nom de domaine est crypté par la session HTTPS et reste invisible pour votre FAI ou toute autre personne regardant vos activités.
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.