L'URL peut-elle être lue par des tiers lors de la navigation via HTTPS?

32

Nous savons tous que HTTPS crypte la connexion entre l’ordinateur et le serveur afin qu’elle ne puisse pas être visualisée par un tiers. Toutefois, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l'utilisateur a accédé?

Par exemple, je visite

https://www.website.com/data/abc.html

Le fournisseur de services Internet saura-t-il que j'ai accédé à * / data / abc.html ou simplement que j'ai visité l'adresse IP de www.website.com?

S'ils le savent, alors pourquoi Wikipedia et Google ont-ils le protocole HTTPS alors que quelqu'un peut simplement lire les journaux Internet et trouver le contenu exact visualisé par l'utilisateur?

Anonyme
la source
7
Astuce: Si vous n'enregistrez pas votre compte, visitez cet endroit à partir de plusieurs adresses IP et ne gardez pas votre cookie, la participation à Super User sera un peu… fragmentée, ce qui signifie que vous ne pouvez même pas accepter de réponses sur vos propres messages. , ou ajouter des commentaires. Je vous suggère fortement de créer un compte ici.
Slhck

Réponses:

48

De gauche à droite:

Le schéma https: est évidemment interprété par le navigateur.

Le nom de domaine www.website.com est résolu en une adresse IP utilisant DNS. Votre FAI verra la demande DNS de ce domaine et la réponse.

Le chemin /data/abc.html est envoyé dans la requête HTTP. Si vous utilisez HTTPS, il sera chiffré avec le reste de la requête et de la réponse HTTP.

La chaîne de requête ?this=that , si présente dans l'URL, est envoyée dans la requête HTTP - avec le chemin. Donc, il est également crypté.

Le fragment #there , s'il est présent, n'est envoyé nulle part - il est interprété par le navigateur (parfois par JavaScript sur la page renvoyée).

Grawity
la source
3
Vous avez oublié que les navigateurs modernes prenant en charge SNI annoncent le nom d'hôte en texte brut, même pour les requêtes HTTPS.
Monstieur
9
@Kurian: Peu importe, car le nom d'hôte est déjà "annoncé" par DNS.
grawity
2
@Kurian: l'adresse IP peut être acquise par d'autres moyens, mais c'est rarement le cas. Et examiner un protocole isolé sans prendre en compte la manière dont il est réellement utilisé risque de laisser passer les parties importantes.
Joachim Sauer
Je ne sais pas si Tor utilise le même nœud de sortie pour résoudre les noms et établir la connexion HTTPS réelle, ou des connexions différentes. S'il utilise des nœuds distincts, il s'agit toujours du seul endroit où SNI importera.
Grawity
13

Le FAI ne saura que si vous avez visité l'adresse IP associée www.website.com(et peut-être l'URL si vous utilisez son DNS et qu'il recherche spécifiquement le trafic - si la requête DNS ne passe pas, il ne le verra pas).

(Ours avec moi un peu ici - je viens à la réponse.)

Le protocole HTTP fonctionne en se connectant à un port (généralement le port 80), puis le navigateur Web communique la page qu'il souhaite au serveur. Une simple requête de recherche http://www.sitename.com/url/of/site.htmlcomporterait les lignes suivantes:

GET /url/of/site.html HTTP / 1.1
hôte: www.nomsite.com

HTTPS fait exactement la même chose sauf sur le port 443 - et encapsule la session TCP entière (c’est-à-dire tout ce que vous voyez dans le bit cité ci-dessus plus la réponse) dans une session cryptée SSL - de sorte que le FAI ne voit pas tout le trafic ( mais ils peuvent peut-être déduire quelque chose en fonction de la taille du site et de la recherche DNS à résoudre www.sitename.comen une adresse IP dans un premier temps).

Bien sûr, si des "bogues Web" sont intégrés à la page, cela peut donner aux "partenaires" des diffuseurs d'informations des indications sur ce que vous regardez et sur qui vous êtes. De même, si votre chaîne de confiance est rompue, un fournisseur de services Internet peut effectuer des vérifications. une attaque d'homme au milieu. La raison pour laquelle vous pouvez avoir un cryptage privé de bout en bout, en théorie, est due aux certificats d'AC distribués avec votre navigateur. Si un fournisseur de services Internet ou un gouvernement peut soit ajouter un certificat d'autorité de certification, soit compromettre une autorité de certification (et que les deux se sont déjà produits par le passé), vous perdez votre sécurité. Je crois que le Grand Pare-feu de Chine effectue efficacement des attaques Man-In-The-Middle pour lire les données HTTPS, mais cela fait un moment que je n'y suis pas.

Vous pouvez le tester vous-même assez facilement en vous procurant un logiciel qui détectera le trafic entrant et sortant de votre ordinateur. Je crois qu'un logiciel gratuit appelé Wireshark le fera pour vous.

Davidgo
la source
0

Je ne suis pas sûr que ce soit un commentaire ou une réponse digne de ce nom, mais j'aimerais partager un addendum.

Les réponses ici montrent ce qui devrait arriver. La question est peut l'URL être read.The réponse à cette question est oui, mais il est relativement peu probable.

Un attaquant (tiers) peut absolument intercepter votre trafic https et lire toutes vos requêtes dans des cas spécifiques. Pour en savoir plus, je vous ai invité à lire MITM ainsi que SSLStrip . Je peux approfondir cette question si nécessaire pour comprendre.

Vous ne devez pas vous attendre à ce que votre FAI le fasse à la fois parce que c'est une perte de bande passante, mais aussi parce qu'ils ont plus à perdre si vous deviez le savoir et le poursuivre. Cependant, la réponse plus précise à votre question peut-elle être faite? est oui, bien qu'il soit peu probable que quelqu'un se soucie suffisamment de voir ce que vous êtes en train de googler ou de faire du wiki.

tophersmith116
la source