18Aug
Când vizitați în siguranță un site web prin intermediul https: // datele trimise între server și browserul dvs. sunt criptate, dar despre URL-urile pe care le accesați în cadrul site-ului? Este posibil ca ISP-ul dvs. sau un alt observator terț să vadă ceea ce căutați?
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Întrebarea
Un cititor anonim SuperUser dorește să știe dacă sesiunile de navigare sunt complet securizate:
Știm cu toții că HTTPS criptează conexiunea dintre computer și server, astfel încât să nu poată fi văzută de o terță parte. Cu toate acestea, ISP sau o terță parte văd link-ul exact al paginii pe care a accesat-o utilizatorul?
De exemplu, am vizita:
https: //www.website.com/data/ abc.html
Va ISP stiu ca am accesat * /data/ abc.html sau doar stiu ca am vizitat IP-ul www.website.com?
Dacă știu, atunci de ce Wikipedia și Google au HTTPS atunci când cineva poate doar să citească jurnalele de internet și să afle exact conținutul pe care la văzut utilizatorul?
O întrebare interesantă cu siguranță care are implicații asupra vieții private. Să investigăm.
Răspunsul la răspunsul
Contributor SuperUser Grawity oferă o prezentare foarte concisă a modului în care este procesată adresa URL completă pe parcurs:
De la stânga la dreapta:
Schema https: este, evident, interpretată de browser.
Numele de domeniu www.website.com este rezolvat la o adresă IP utilizând DNS.Furnizorul dvs. va vedea solicitarea DNS pentru acest domeniu și răspunsul.
Calea /data/ abc.html este trimisă în cererea HTTP.Dacă utilizați HTTPS, va fi criptat împreună cu restul cererii și răspunsului HTTP.
Șirul de interogare ? This = dacă este prezent în URL, este trimis în cererea HTTP - împreună cu calea. Deci, de asemenea, este criptat.
Fragmentul #there, dacă este prezent, nu este trimis nicăieri - este interpretat de browser( uneori prin JavaScript pe pagina returnată).
Pe scurt, tot ceea ce se află în partea dreaptă a numelui de domeniu este criptat de sesiunea HTTPS și rămâne invizibil pentru ISP-ul dvs. sau pentru oricine altcineva care vă interesează în activitățile dvs.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.