18Aug
Wanneer u veilig een website bezoekt via https: // zijn de gegevens die tussen de server en uw browser zijn verzonden, gecodeerd maar hoe zit het met de URL's die u binnen de site bezoekt? Kan uw ISP of een externe waarnemer van derden zien waar u naar kijkt?
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
De vraag
Een anonieme SuperUser-lezer wil weten of zijn browsersessies volledig veilig zijn:
We weten allemaal dat HTTPS de verbinding tussen de computer en de server versleutelt zodat deze niet door een derde partij kan worden bekeken. Kan de ISP of een derde echter de exacte link zien van de pagina waartoe de gebruiker toegang heeft?
Ik bezoek bijvoorbeeld:
https: //www.website.com/data/ abc.html
Zal de ISP weten dat ik * /data/ abc.html heb gebruikt of weet ik gewoon dat ik het IP van www.website.com bezocht?
Als ze het weten, waarom hebben Wikipedia en Google dan HTTPS wanneer iemand de internetlogs kan lezen en de exacte inhoud kan vinden die de gebruiker heeft bekeken?
Een interessante vraag die zeker gevolgen heeft voor de persoonlijke levenssfeer. Laten we het onderzoeken.
Het antwoord
SuperUser-bijdrager Grawity biedt een zeer beknopt overzicht van hoe de volledige URL langs de route wordt verwerkt:
Van links naar rechts:
Het -schema https: wordt duidelijk geïnterpreteerd door de browser.
De -domeinnaam www.website.com is omgezet naar een IP-adres met behulp van DNS.Uw ISP zal het DNS-verzoek voor dit domein en het antwoord zien.
Het -pad /data/ abc.html wordt verzonden in het HTTP-verzoek. Als u HTTPS gebruikt, wordt gecodeerd met samen met de rest van het HTTP-verzoek en -antwoord.
De -queryreeks ? This = dat, indien aanwezig in de URL, wordt verzonden in het HTTP-verzoek - samen met het pad. Dus het is ook gecodeerd.
Het -fragment #there, indien aanwezig, wordt nergens naartoe gestuurd - het wordt geïnterpreteerd door de browser( soms door JavaScript op de geretourneerde pagina).
Kortom, alles aan de rechterkant van de domeinnaam wordt gecodeerd door de HTTPS-sessie en blijft onzichtbaar voor uw ISP of iemand anders die in uw activiteiten gluren.
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de opmerkingen. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.