Nous savons tous que HTTPS crypte la connexion entre l’ordinateur et le serveur afin qu’elle ne puisse pas être visualisée par un tiers. Toutefois, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l'utilisateur a accédé?
Par exemple, je visite
https://www.website.com/data/abc.html
Le fournisseur de services Internet saura-t-il que j'ai accédé à * / data / abc.html ou simplement que j'ai visité l'adresse IP de www.website.com?
S'ils le savent, alors pourquoi Wikipedia et Google ont-ils le protocole HTTPS alors que quelqu'un peut simplement lire les journaux Internet et trouver le contenu exact visualisé par l'utilisateur?
Réponses:
De gauche à droite:
Le schéma
https:
est évidemment interprété par le navigateur.Le nom de domaine
www.website.com
est résolu en une adresse IP utilisant DNS. Votre FAI verra la demande DNS de ce domaine et la réponse.Le chemin
/data/abc.html
est envoyé dans la requête HTTP. Si vous utilisez HTTPS, il sera chiffré avec le reste de la requête et de la réponse HTTP.La chaîne de requête
?this=that
, si présente dans l'URL, est envoyée dans la requête HTTP - avec le chemin. Donc, il est également crypté.Le fragment
#there
, s'il est présent, n'est envoyé nulle part - il est interprété par le navigateur (parfois par JavaScript sur la page renvoyée).la source
Le FAI ne saura que si vous avez visité l'adresse IP associée
www.website.com
(et peut-être l'URL si vous utilisez son DNS et qu'il recherche spécifiquement le trafic - si la requête DNS ne passe pas, il ne le verra pas).(Ours avec moi un peu ici - je viens à la réponse.)
Le protocole HTTP fonctionne en se connectant à un port (généralement le port 80), puis le navigateur Web communique la page qu'il souhaite au serveur. Une simple requête de recherche
http://www.sitename.com/url/of/site.html
comporterait les lignes suivantes:HTTPS fait exactement la même chose sauf sur le port 443 - et encapsule la session TCP entière (c’est-à-dire tout ce que vous voyez dans le bit cité ci-dessus plus la réponse) dans une session cryptée SSL - de sorte que le FAI ne voit pas tout le trafic ( mais ils peuvent peut-être déduire quelque chose en fonction de la taille du site et de la recherche DNS à résoudre
www.sitename.com
en une adresse IP dans un premier temps).Bien sûr, si des "bogues Web" sont intégrés à la page, cela peut donner aux "partenaires" des diffuseurs d'informations des indications sur ce que vous regardez et sur qui vous êtes. De même, si votre chaîne de confiance est rompue, un fournisseur de services Internet peut effectuer des vérifications. une attaque d'homme au milieu. La raison pour laquelle vous pouvez avoir un cryptage privé de bout en bout, en théorie, est due aux certificats d'AC distribués avec votre navigateur. Si un fournisseur de services Internet ou un gouvernement peut soit ajouter un certificat d'autorité de certification, soit compromettre une autorité de certification (et que les deux se sont déjà produits par le passé), vous perdez votre sécurité. Je crois que le Grand Pare-feu de Chine effectue efficacement des attaques Man-In-The-Middle pour lire les données HTTPS, mais cela fait un moment que je n'y suis pas.
Vous pouvez le tester vous-même assez facilement en vous procurant un logiciel qui détectera le trafic entrant et sortant de votre ordinateur. Je crois qu'un logiciel gratuit appelé Wireshark le fera pour vous.
la source
Je ne suis pas sûr que ce soit un commentaire ou une réponse digne de ce nom, mais j'aimerais partager un addendum.
Les réponses ici montrent ce qui devrait arriver. La question est peut l'URL être read.The réponse à cette question est oui, mais il est relativement peu probable.
Un attaquant (tiers) peut absolument intercepter votre trafic https et lire toutes vos requêtes dans des cas spécifiques. Pour en savoir plus, je vous ai invité à lire MITM ainsi que SSLStrip . Je peux approfondir cette question si nécessaire pour comprendre.
Vous ne devez pas vous attendre à ce que votre FAI le fasse à la fois parce que c'est une perte de bande passante, mais aussi parce qu'ils ont plus à perdre si vous deviez le savoir et le poursuivre. Cependant, la réponse plus précise à votre question peut-elle être faite? est oui, bien qu'il soit peu probable que quelqu'un se soucie suffisamment de voir ce que vous êtes en train de googler ou de faire du wiki.
la source