[Security] क्या एचटीटीपीएस हेडर एन्क्रिप्टेड हैं?


Answers

शीर्षलेख पूरी तरह से एन्क्रिप्टेड हैं। 'स्पष्ट में' नेटवर्क पर जाने वाली एकमात्र जानकारी एसएसएल सेटअप और डी / एच कुंजी एक्सचेंज से संबंधित है। यह एक्सचेंज सावधानीपूर्वक डिजाइन किया गया है कि वे सहेजी गई किसी भी उपयोगी जानकारी को न पहुंचे, और एक बार यह हो जाने के बाद, सभी डेटा एन्क्रिप्ट किया गया है।

Question

HTTPS पर डेटा भेजते समय, मुझे पता है कि सामग्री एन्क्रिप्ट की गई है, हालांकि मैं हेडर एन्क्रिप्टेड हैं या हेडर कितना एन्क्रिप्टेड है, इसके बारे में मिश्रित उत्तरों सुनता हूं।

कितने HTTPS शीर्षलेख एन्क्रिप्ट किए गए हैं?

जीईटी / POST अनुरोध यूआरएल, कुकीज़, इत्यादि सहित।




पुराने सवाल का नया जवाब, क्षमा करें। मैंने सोचा कि मैं अपना $ .02 जोड़ूंगा

ओपी ने पूछा कि हेडर एन्क्रिप्टेड हैं या नहीं।

वे हैं: पारगमन में।

वे नहीं हैं: जब पारगमन में नहीं।

इसलिए, आपके ब्राउज़र का यूआरएल (और कुछ मामलों में शीर्षक) क्वेरीस्ट्रिंग प्रदर्शित कर सकता है (जिसमें आमतौर पर सबसे संवेदनशील विवरण होते हैं) और हेडर में कुछ विवरण; ब्राउजर कुछ हेडर जानकारी जानता है (सामग्री प्रकार, यूनिकोड, आदि); और ब्राउज़र इतिहास, पासवर्ड प्रबंधन, पसंदीदा / बुकमार्क, और कैश किए गए पृष्ठों में सभी क्वेरीस्ट्रिंग होंगे। रिमोट एंड पर सर्वर लॉग में क्वेरीस्ट्रिंग के साथ-साथ कुछ सामग्री विवरण भी हो सकते हैं।

साथ ही, यूआरएल हमेशा सुरक्षित नहीं होता है: डोमेन, प्रोटोकॉल और पोर्ट दिखाई दे रहे हैं - अन्यथा राउटर नहीं जानते कि आपके अनुरोध कहां भेजना है।

साथ ही, यदि आपके पास HTTP प्रॉक्सी है, तो प्रॉक्सी सर्वर पता जानता है, आमतौर पर वे पूर्ण क्वेरीस्ट्रिंग को नहीं जानते हैं।

तो यदि डेटा चल रहा है, तो यह आम तौर पर संरक्षित है। यदि यह पारगमन में नहीं है, तो यह एन्क्रिप्टेड नहीं है।

नाइट लेने के लिए नहीं, लेकिन अंत में डेटा भी डिक्रिप्ट किया गया है, और इच्छानुसार पार्स, पढ़ा, सहेजा, अग्रेषित या त्याग दिया जा सकता है। और, किसी भी अंत में मैलवेयर एसएसएल प्रोटोकॉल में प्रवेश करने (या बाहर निकलने) डेटा के स्नैपशॉट ले सकता है - जैसे (खराब) जावास्क्रिप्ट एचटीटीपीएस के अंदर एक पृष्ठ के अंदर जो गुप्त रूप से http (या https) को वेबसाइटों को लॉग इन करने के लिए कॉल कर सकता है (स्थानीय हार्डड्राइव तक पहुंच के बाद से अक्सर प्रतिबंधित और उपयोगी नहीं है)।

साथ ही, कुकीज़ को HTTPS प्रोटोकॉल के तहत एन्क्रिप्ट नहीं किया गया है, या तो। कुकीज (या उस मामले के लिए कहीं और) में संवेदनशील डेटा स्टोर करना चाहते हैं डेवलपर्स को अपने स्वयं के एन्क्रिप्शन तंत्र का उपयोग करने की आवश्यकता है।

कैश के रूप में, अधिकांश आधुनिक ब्राउज़र HTTPS पृष्ठों को कैश नहीं करेंगे, लेकिन यह तथ्य HTTPS प्रोटोकॉल द्वारा परिभाषित नहीं किया गया है, यह सुनिश्चित करने के लिए ब्राउज़र के डेवलपर पर पूरी तरह से निर्भर है कि HTTPS के माध्यम से प्राप्त पृष्ठों को कैश न करें।

तो यदि आप पैकेट स्नीफिंग के बारे में चिंतित हैं, तो आप शायद ठीक है। लेकिन अगर आप मैलवेयर या आपके इतिहास, बुकमार्क्स, कुकीज़ या कैश के माध्यम से पोकिंग करने के बारे में चिंतित हैं, तो आप अभी तक पानी से बाहर नहीं हैं।




एचटीटीपीएस (एसएसएल पर HTTP) सभी HTTP सामग्री को एसएसएल टनल पर भेजता है, इसलिए HTTP सामग्री और शीर्षलेख भी एन्क्रिप्ट किए जाते हैं।




यूआरएल भी एन्क्रिप्ट किया गया है, आप वास्तव में केवल आईपी, पोर्ट और एसएनआई है, होस्ट नाम जो अनएन्क्रिप्टेड हैं।