security - क्या एचटीटीपीएस हेडर एन्क्रिप्टेड हैं?




post encryption (6)

HTTPS पर डेटा भेजते समय, मुझे पता है कि सामग्री एन्क्रिप्ट की गई है, हालांकि मैं हेडर एन्क्रिप्टेड हैं या हेडर कितना एन्क्रिप्टेड है, इसके बारे में मिश्रित उत्तरों सुनता हूं।

कितने HTTPS शीर्षलेख एन्क्रिप्ट किए गए हैं?

जीईटी / POST अनुरोध यूआरएल, कुकीज़, इत्यादि सहित।


HTTP संस्करण 1.1 ने एक विशेष HTTP विधि, कनेक्ट - एसएसएल सुरंग बनाने के उद्देश्य से आवश्यक प्रोटोकॉल हैंडशेक और क्रिप्टोग्राफिक सेटअप समेत जोड़ा।
उसके बाद नियमित अनुरोध एसएसएल सुरंग, हेडर और बॉडी समावेशी में लिपटे भेजे जाते हैं।


एचटीटीपीएस (एसएसएल पर HTTP) सभी HTTP सामग्री को एसएसएल टनल पर भेजता है, इसलिए HTTP सामग्री और शीर्षलेख भी एन्क्रिप्ट किए जाते हैं।


पुराने सवाल का नया जवाब, क्षमा करें। मैंने सोचा कि मैं अपना $ .02 जोड़ूंगा

ओपी ने पूछा कि हेडर एन्क्रिप्टेड हैं या नहीं।

वे हैं: पारगमन में।

वे नहीं हैं: जब पारगमन में नहीं।

इसलिए, आपके ब्राउज़र का यूआरएल (और कुछ मामलों में शीर्षक) क्वेरीस्ट्रिंग प्रदर्शित कर सकता है (जिसमें आमतौर पर सबसे संवेदनशील विवरण होते हैं) और हेडर में कुछ विवरण; ब्राउजर कुछ हेडर जानकारी जानता है (सामग्री प्रकार, यूनिकोड, आदि); और ब्राउज़र इतिहास, पासवर्ड प्रबंधन, पसंदीदा / बुकमार्क, और कैश किए गए पृष्ठों में सभी क्वेरीस्ट्रिंग होंगे। रिमोट एंड पर सर्वर लॉग में क्वेरीस्ट्रिंग के साथ-साथ कुछ सामग्री विवरण भी हो सकते हैं।

साथ ही, यूआरएल हमेशा सुरक्षित नहीं होता है: डोमेन, प्रोटोकॉल और पोर्ट दिखाई दे रहे हैं - अन्यथा राउटर नहीं जानते कि आपके अनुरोध कहां भेजना है।

साथ ही, यदि आपके पास HTTP प्रॉक्सी है, तो प्रॉक्सी सर्वर पता जानता है, आमतौर पर वे पूर्ण क्वेरीस्ट्रिंग को नहीं जानते हैं।

तो यदि डेटा चल रहा है, तो यह आम तौर पर संरक्षित है। यदि यह पारगमन में नहीं है, तो यह एन्क्रिप्टेड नहीं है।

नाइट लेने के लिए नहीं, लेकिन अंत में डेटा भी डिक्रिप्ट किया गया है, और इच्छानुसार पार्स, पढ़ा, सहेजा, अग्रेषित या त्याग दिया जा सकता है। और, किसी भी अंत में मैलवेयर एसएसएल प्रोटोकॉल में प्रवेश करने (या बाहर निकलने) डेटा के स्नैपशॉट ले सकता है - जैसे (खराब) जावास्क्रिप्ट एचटीटीपीएस के अंदर एक पृष्ठ के अंदर जो गुप्त रूप से http (या https) को वेबसाइटों को लॉग इन करने के लिए कॉल कर सकता है (स्थानीय हार्डड्राइव तक पहुंच के बाद से अक्सर प्रतिबंधित और उपयोगी नहीं है)।

साथ ही, कुकीज़ को HTTPS प्रोटोकॉल के तहत एन्क्रिप्ट नहीं किया गया है, या तो। कुकीज (या उस मामले के लिए कहीं और) में संवेदनशील डेटा स्टोर करना चाहते हैं डेवलपर्स को अपने स्वयं के एन्क्रिप्शन तंत्र का उपयोग करने की आवश्यकता है।

कैश के रूप में, अधिकांश आधुनिक ब्राउज़र HTTPS पृष्ठों को कैश नहीं करेंगे, लेकिन यह तथ्य HTTPS प्रोटोकॉल द्वारा परिभाषित नहीं किया गया है, यह सुनिश्चित करने के लिए ब्राउज़र के डेवलपर पर पूरी तरह से निर्भर है कि HTTPS के माध्यम से प्राप्त पृष्ठों को कैश न करें।

तो यदि आप पैकेट स्नीफिंग के बारे में चिंतित हैं, तो आप शायद ठीक है। लेकिन अगर आप मैलवेयर या आपके इतिहास, बुकमार्क्स, कुकीज़ या कैश के माध्यम से पोकिंग करने के बारे में चिंतित हैं, तो आप अभी तक पानी से बाहर नहीं हैं।


पूरी चीज एन्क्रिप्टेड है all - सभी शीर्षलेख। यही कारण है कि vhosts पर SSL बहुत अच्छी तरह से काम नहीं करता है - आपको एक समर्पित आईपी पता चाहिए क्योंकि होस्ट हेडर एन्क्रिप्ट किया गया है।

सर्वर नाम पहचान (एसएनआई) मानक का अर्थ है कि यदि आप टीएलएस का उपयोग कर रहे हैं तो होस्टनाम एन्क्रिप्ट नहीं किया जा सकता है। साथ ही, चाहे आप एसएनआई का उपयोग कर रहे हों या नहीं, टीसीपी और आईपी हेडर कभी एन्क्रिप्टेड नहीं होते हैं। (यदि वे थे, तो आपके पैकेट रूटेबल नहीं होंगे।)


शीर्षलेख पूरी तरह से एन्क्रिप्टेड हैं। 'स्पष्ट में' नेटवर्क पर जाने वाली एकमात्र जानकारी एसएसएल सेटअप और डी / एच कुंजी एक्सचेंज से संबंधित है। यह एक्सचेंज सावधानीपूर्वक डिजाइन किया गया है कि वे सहेजी गई किसी भी उपयोगी जानकारी को न पहुंचे, और एक बार यह हो जाने के बाद, सभी डेटा एन्क्रिप्ट किया गया है।


हां, हेडर एन्क्रिप्ट किए गए हैं। यह here लिखा here

एचटीटीपीएस संदेश में सबकुछ एन्क्रिप्टेड है, जिसमें शीर्षलेख, और अनुरोध / प्रतिक्रिया भार शामिल है।







get