Lors de l'envoi de données via HTTPS, je sais que le contenu est crypté, mais j'entends des réponses mitigées sur le fait que les en-têtes sont cryptés ou la quantité d'en-tête cryptée.
Combien d'en-têtes HTTPS sont cryptés?
Y compris les URL de demande GET / POST, les cookies, etc.
Réponses:
Le tout est crypté † - tous les en-têtes. C'est pourquoi SSL sur les vhosts ne fonctionne pas trop bien - vous avez besoin d'une adresse IP dédiée car l'en-tête de l'hôte est crypté.
† La norme SNI (Server Name Identification) signifie que le nom d'hôte peut ne pas être chiffré si vous utilisez TLS. De plus, que vous utilisiez SNI ou non, les en-têtes TCP et IP ne sont jamais chiffrés. (S'ils l'étaient, vos paquets ne seraient pas routables.)
la source
Les en-têtes sont entièrement cryptés. La seule information circulant sur le réseau «en clair» est liée à la configuration SSL et à l'échange de clés D / H. Cet échange est soigneusement conçu pour ne fournir aucune information utile aux écoutes, et une fois qu'il a eu lieu, toutes les données sont cryptées.
la source
Nouvelle réponse à une vieille question, désolé. Je pensais ajouter mon 0,02 $
Le PO a demandé si les en-têtes étaient cryptés.
Ils sont: en transit.
Ils ne sont PAS: lorsqu'ils ne sont pas en transit.
Ainsi, l'URL de votre navigateur (et le titre, dans certains cas) peut afficher la chaîne de requête (qui contient généralement les détails les plus sensibles) et certains détails dans l'en-tête; le navigateur connaît certaines informations d'en-tête (type de contenu, unicode, etc.); et l'historique du navigateur, la gestion des mots de passe, les favoris / signets et les pages en cache contiendront tous la chaîne de requête. Les journaux du serveur sur l'extrémité distante peuvent également contenir une chaîne de requête ainsi que certains détails de contenu.
De plus, l'URL n'est pas toujours sécurisée: le domaine, le protocole et le port sont visibles - sinon les routeurs ne savent pas où envoyer vos demandes.
De plus, si vous avez un proxy HTTP, le serveur proxy connaît l'adresse, généralement il ne connaît pas la chaîne de requête complète.
Donc, si les données sont en mouvement, elles sont généralement protégées. S'il n'est pas en transit, il n'est pas crypté.
Pas à la légère, mais les données à la fin sont également déchiffrées et peuvent être analysées, lues, enregistrées, transmises ou supprimées à volonté. Et les logiciels malveillants à chaque extrémité peuvent prendre des instantanés de données entrant (ou sortant) du protocole SSL - comme (mauvais) Javascript dans une page à l'intérieur de HTTPS qui peut subrepticement faire des appels http (ou https) aux sites Web de journalisation (depuis l'accès au disque dur local) est souvent restreint et inutile).
De plus, les cookies ne sont pas non plus cryptés sous le protocole HTTPS. Les développeurs souhaitant stocker des données sensibles dans des cookies (ou ailleurs d'ailleurs) doivent utiliser leur propre mécanisme de cryptage.
En ce qui concerne le cache, la plupart des navigateurs modernes ne mettent pas en cache les pages HTTPS, mais ce fait n'est pas défini par le protocole HTTPS, il dépend entièrement du développeur d'un navigateur pour être sûr de ne pas mettre en cache les pages reçues via HTTPS.
Donc, si vous craignez de renifler des paquets, vous êtes probablement d'accord. Mais si vous vous inquiétez des logiciels malveillants ou de quelqu'un qui fouille dans votre historique, vos signets, vos cookies ou votre cache, vous n'êtes pas encore sorti de l'eau.
la source
HTTP version 1.1 a ajouté une méthode HTTP spéciale, CONNECT - destinée à créer le tunnel SSL, y compris la négociation de protocole et la configuration cryptographique nécessaires.
Les demandes régulières par la suite sont toutes envoyées enveloppées dans le tunnel SSL, les en-têtes et le corps inclus.
la source
Avec SSL, le cryptage est au niveau du transport, il a donc lieu avant l'envoi d'une demande.
Donc, tout dans la demande est crypté.
la source
HTTPS (HTTP sur SSL) envoie tout le contenu HTTP sur un tunnel SSL, donc le contenu et les en-têtes HTTP sont également chiffrés.
la source
Oui, les en-têtes sont cryptés. C'est écrit ici .
la source
l'URL est également cryptée, vous n'avez vraiment que l'IP, le port et si SNI, le nom d'hôte qui n'est pas crypté.
la source