18Aug

Os terceiros podem ler o URL completo ao navegar via HTTPS?

click fraud protection


Quando você está visitando um site de forma segura por meio de https: // os dados enviados entre o servidor e seu navegador são criptografados, e o que é sobre os URLs que você está visitando no site? O seu ISP ou outro observador de terceiros pode ver o que você está olhando?

Today's Question &A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.

A Pergunta

Um leitor SuperUser anônimo quer saber se suas sessões de navegação são completamente seguras:

Todos sabemos que o HTTPS criptografa a conexão entre o computador e o servidor para que ele não possa ser visualizado por terceiros. No entanto, o ISP ou um terceiro pode ver o link exato da página que o usuário acessou?

Por exemplo, eu visitei:

https: //www.website.com/data/ abc.html

O ISP saberá que eu acessei * /data/ abc.html ou só sei que visitei o IP de www.website.com?

Se eles sabem, então, por que a Wikipedia e o Google têm HTTPS quando alguém pode simplesmente ler os logs da internet e descobrir o conteúdo exato que o usuário visualizou?

instagram viewer

Uma questão interessante que certamente tem implicações para a privacidade pessoal. Vamos investigar.

O respondedor

SuperUser Grawity oferece uma visão geral muito concisa de como o URL completo é processado ao longo do caminho:

Da esquerda para a direita:

O esquema https: é, obviamente, interpretado pelo navegador.

O nome de domínio www.website.com é resolvido para um endereço IP usando o DNS.Seu ISP verá o pedido de DNS para este domínio e a resposta.

O caminho /data/ abc.html é enviado na solicitação HTTP.Se você usar HTTPS, será criptografado juntamente com o restante da solicitação e resposta HTTP.

A string de consulta ? This = que, se presente no URL, é enviada na solicitação HTTP - juntamente com o caminho. Então também está criptografado.

O fragmento #, se presente, não é enviado em qualquer lugar - é interpretado pelo navegador( às vezes por JavaScript na página retornada).

Em suma, tudo à direita do nome de domínio é criptografado pela sessão HTTPS e permanece invisível para o seu ISP ou qualquer outra pessoa que espreita em suas atividades.

Tem alguma coisa a adicionar à explicação? Som na parte dos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.