18Aug

Le terze parti possono leggere l'URL completo durante la navigazione tramite HTTPS?


Quando visiti in modo sicuro un sito Web tramite https: // i dati inviati tra il server e il tuo browser sono crittografati, ma per quanto riguarda gli URL che stai visitando all'interno del sito? Il tuo ISP o altri osservatori di terze parti possono vedere ciò che stai guardando?

Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.

La domanda

Un lettore SuperUser anonimo vuole sapere se le sue sessioni di navigazione sono completamente sicure:

Sappiamo tutti che HTTPS crittografa la connessione tra il computer e il server in modo che non possa essere vista da terzi. Tuttavia, l'ISP o una terza parte possono vedere il link esatto della pagina a cui l'utente ha avuto accesso?

Ad esempio, visito:

https: //www.website.com/data/ abc.html

L'ISP saprà che ho effettuato l'accesso * /data/ abc.html o semplicemente so che ho visitato l'IP di www.website.com?

Se lo sanno, allora perché Wikipedia e Google hanno HTTPS quando qualcuno può semplicemente leggere i registri di Internet e scoprire il contenuto esatto che l'utente ha visualizzato?

Una domanda interessante che ha certamente implicazioni per la privacy personale. Indagiamo

La risposta

SuperUser contributor Grawity offre una panoramica molto concisa di come l'intero URL viene elaborato lungo il percorso:

Da sinistra a destra:

Lo schema https: è, ovviamente, interpretato dal browser.

Il nome di dominio www.website.com è stato risolto in un indirizzo IP utilizzando DNS.Il tuo ISP vedrà la richiesta DNS per questo dominio e la risposta.

Il percorso /data/ abc.html viene inviato nella richiesta HTTP.Se si utilizza HTTPS, verrà crittografato insieme al resto della richiesta e della risposta HTTP.

La stringa di query ? This = che, se presente nell'URL, viene inviata nella richiesta HTTP - insieme al percorso. Quindi è anche crittografato.

Il frammento #questo, se presente, non viene inviato da nessuna parte - è interpretato dal browser( a volte da JavaScript nella pagina restituita).

In breve, tutto a destra del nome di dominio è crittografato dalla sessione HTTPS e rimane invisibile al tuo ISP oa chiunque altro sbirci nelle tue attività.

Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.