https करन क्या एचटीटीपीएस में डेटा भी एन्क्रिप्ट किया गया है?




डिक्रिप्ट मीनिंग इन हिंदी (8)

आप कब प्राप्त करोगे

https://encrypted.google.com/search?q=%s

%s क्वेरी एन्क्रिप्टेड है? या सिर्फ प्रतिक्रिया? यदि ऐसा नहीं है, तो Google को एन्क्रिप्शन के साथ भी इसकी सार्वजनिक सामग्री क्यों प्रदान करनी चाहिए?


सब कुछ एन्क्रिप्ट किया गया है, लेकिन आपको याद रखना होगा कि आपकी क्वेरी सर्वर के लॉग में रहेगी और विभिन्न लॉग विश्लेषकों आदि के लिए पहुंच योग्य होगी (जो आमतौर पर पोस्ट अनुरोध के मामले में नहीं होती है)।


पूरा अनुरोध एन्क्रिप्ट किया गया है, जिसमें यूआरएल, और यहां तक ​​कि कमांड ( GET ) भी शामिल है। प्रॉक्सी सर्वर जैसे हस्तक्षेप करने वाली पार्टी केवल एकमात्र चीज है जो गंतव्य पता और बंदरगाह है।

नोट, हालांकि, एक टीएलएस हैंडशेक का क्लाइंट हैलो पैकेट एसएनआई एक्सटेंशन (धन्यवाद @ हाफिचुक) के माध्यम से सादे टेक्स्ट में पूरी तरह से योग्य डोमेन नाम का विज्ञापन कर सकता है, जिसका उपयोग सभी आधुनिक मुख्यधारा के ब्राउज़र द्वारा किया जाता है, हालांकि कुछ नए ओएस पर ही हैं।

संपादित करें: (चूंकि यह मुझे अभी "अच्छा जवाब" बैज मिला है, मुझे लगता है कि मुझे पूरे प्रश्न का उत्तर देना चाहिए ...)

पूरी प्रतिक्रिया भी एन्क्रिप्टेड है; प्रॉक्सी इसके किसी हिस्से को रोक नहीं सकता है।

Google https पर खोजों और अन्य सामग्री की सेवा करता है क्योंकि यह सब सार्वजनिक नहीं है, और आप MITM से कुछ सार्वजनिक सामग्री को छिपाना भी चाह सकते हैं। किसी भी घटना में, Google को अपने लिए उत्तर देने देना सर्वोत्तम होता है।


अनुरोध संसाधित होने से पहले कनेक्शन एन्क्रिप्ट किया जाता है। तो हाँ, क्वेरी स्ट्रिंग समेत अनुरोध एन्क्रिप्ट किया गया है।


जीईटी अनुरोध एचटीटीपीएस का उपयोग करते समय एन्क्रिप्ट किया जाता है - असल में यही कारण है कि सुरक्षित वेबसाइटों को एक अद्वितीय आईपी पता होना चाहिए - अनुरोध से इच्छित होस्टनाम (या आभासी निर्देशिका) प्राप्त करने का कोई तरीका नहीं है जब तक कि इसे डिक्रिप्ट नहीं किया जाता है।


किसी भी HTTP डेटा स्थानांतरित होने से पहले HTTPS अंतर्निहित SSL कनेक्शन स्थापित करता है। यह सुनिश्चित करता है कि सभी यूआरएल डेटा (मेजबाननाम के अपवाद के साथ, जो कनेक्शन स्थापित करने के लिए प्रयोग किया जाता है) पूरी तरह से इस एन्क्रिप्टेड कनेक्शन के भीतर ले जाया जाता है और उसी तरह से एचटीटीपीएस डेटा में मैन-इन-द-बीच हमलों से संरक्षित किया जाता है।

उपर्युक्त यहां स्थित Google Answers से बहुत व्यापक उत्तर का हिस्सा है:

http://answers.google.com/answers/threadview/id/758002.html#answer


हाँ, यह सुरक्षित है। एसएसएल सब कुछ एन्क्रिप्ट करता है।

POST अनुरोध से उद्धरण:

POST /foo HTTP/1.1
... some other headers

अनुरोध प्राप्त करने से उद्धरण:

GET /foo?a=b HTTP/1.1
... some other headers

सॉकेट पर जो भी भेजा जाता है, दोनों मामलों में एन्क्रिप्ट किया जाता है। तथ्य यह है कि ग्राहक जीईटी अनुरोध के दौरान अपने ब्राउज़र में पैरामीटर देखता है इसका मतलब यह नहीं है कि बीच में एक आदमी वही देखेगा।


होस्ट नाम के बाद यूआरएल का हिस्सा सुरक्षित रूप से भेजा जाता है।

उदाहरण के लिए, https://somewhere.com/index.php?NAME=FIELD

/index.php?NAME=FIELD भाग एन्क्रिप्ट किया गया है। somewhere.com नहीं है।


एसएसएल हेडर पार्सिंग से पहले होता है, इसका मतलब है:

Client creates Request
Request gets encrypted
Encrypted request gets transmitted to the Server
Server decrypts the Request
Request gets parsed

एक अनुरोध इस तरह कुछ दिखता है (सटीक वाक्यविन्यास याद नहीं कर सकता, लेकिन यह काफी करीब होना चाहिए):

GET /search?q=qwerty HTTP/1.1
Host: www.google.de

यही कारण है कि एक ही आईपी पर कई मेजबानों के लिए अलग-अलग SSL प्रमाण पत्र समस्याग्रस्त हैं, अनुरोधित होस्टनाम डिक्रिप्शन तक ज्ञात नहीं है।





http-get