1019

TLS / SSL (HTTPS) şifrelemesi kullanılırken tüm URL'ler şifreli mi? TLS / SSL (HTTPS) kullanırken tüm URL verilerinin gizlenmesini istediğim için bilmek istiyorum.

TLS / SSL size toplam URL şifrelemesi sağlıyorsa, gizli bilgileri URL'lerden gizleme konusunda endişelenmem gerekmez.

ssl https httprequest

— Daniel Kivatinos
kaynak

76

URL'ye gizli verileri yine de koymak muhtemelen kötü bir fikirdir. Tarayıcının adresinde de kötü görüntülenecek, hatırladın mı? Şifreleri ekrana bakanlar için görünür durumdaysa insanlar bundan hoşlanmazlar. URL'ye neden gizli veriler girmeniz gerektiğini düşünüyorsunuz?

— jalf

43

URL'ler de tarayıcı geçmişinde ve sunucu günlüklerinde saklanır - adımı ve şifremi bir yerde saklamak istersem, bu iki yerde olmaz.

— Piskvor binadan

47

Örneğin, ziyaret ettiğimi varsayalım https://somewhere_i_trust/ways_to_protest_against_the_government/. Ardından URL gizli veriler, yani hükümetimize karşı protesto etmeyi düşündüğüm öneri içeriyor.

— Steve Jessop

42

Yerel (tarayıcı tabanlı değil) bir uygulamadan bir HTTP isteği yaparken kendime bu soruyu soruyordum. Bu mobil Uygulama geliştiricileri ilgilendirebilir tahmin ediyorum. Bu durumda, yukarıdaki yorumlar (doğru olsa da) önemsizdir (görünür URL yok, göz atma geçmişi yok), cevabımı basit bir anlayışla "Evet, şifreli".

— DannyA

23

Bir kez HTTPS olduklarını düşünenler için kimse nereye gittiğini bilmiyor, önce bunu okuyun: Sunucunun ana bilgisayar adı (örn. Example.com) SNI nedeniyle hala sızdırılacak . Bunun DNS ile kesinlikle bir ilgisi yoktur ve DNS kullanmasanız veya şifrelenmiş DNS kullanmasanız bile sızıntı meydana gelecektir.

— Pacerier

913

Evet, SSL bağlantısı TCP katmanı ile HTTP katmanı arasındadır. İstemci ve sunucu önce güvenli bir şifrelenmiş TCP bağlantısı (SSL / TLS protokolü aracılığıyla) kurar ve ardından istemci bu şifrelenmiş TCP bağlantısı üzerinden HTTP isteğini (GET, POST, DELETE ...) gönderir.

— Marc Novakowski
kaynak

98

Sorunun kendisinin yorumunda @ Jaf tarafından belirtilen şeyi hala belirtmeye değer. URL verileri, tarayıcının geçmişine de kaydedilir; bu, uzun vadede güvenli olmayabilir.

— Michael Ekstrand

20

Sadece GET veya POST değil. DELETE, PUT, HEAD veya TRACE de olabilir.

4

Evet, tarayıcının geçmişi için bir güvenlik sorunu olabilir. Ama benim durumumda tarayıcı kullanmıyorum (ayrıca orijinal yazı bir tarayıcıdan bahsetmedi). Yerel bir uygulamada perde arkasında özel bir https çağrısı kullanma. Uygulamanızın sever bağlantısının güvenli olduğundan emin olmak için basit bir çözümdür.

— zingle-dingle

28

Bununla birlikte, URL'nin DNS çözümlemesinin muhtemelen şifrelenmediğini unutmayın. Böylece, trafiğinizi koklayan biri muhtemelen erişmeye çalıştığınız alan adını görebilir.

— ChewToy

21

SNI, URL'lerin SSL şifrelemesinin 'ana bilgisayar' bölümünü kırar. Bunu wireshark ile kendiniz test edebilirsiniz. SNI için bir seçici vardır veya uzak ana bilgisayara bağlandığınızda SSL paketlerinizi inceleyebilirsiniz.

— cmouse

654

Kimse bir tel yakalama sağlamadığından, bir tane.
Sunucu Adı (URL'nin etki alanı kısmı) ClientHellopakette düz metin olarak sunulur .

Aşağıda bir tarayıcı isteği gösterilmektedir:
https://i.stack.imgur.com/path/?some=parameters&go=here

TLS sürüm alanları hakkında daha fazla bilgi için bu cevaba bakınız (3 tane var - sürümler değil, her biri sürüm numarası içeren alanlar!)

Gönderen https://www.ietf.org/rfc/rfc3546.txt :

3.1. Sunucu Adı Göstergesi

[TLS] bir istemciye bir sunucuya iletişim kurduğu sunucunun adını söylemesi için bir mekanizma sağlamaz. İstemcilerin, temel bir tek ağ adresinde birden çok 'sanal' sunucu barındıran sunuculara güvenli bağlantıları kolaylaştırmak için bu bilgileri vermeleri istenebilir.

Sunucu adını sağlamak için, istemciler (genişletilmiş) istemci merhaba "sunucu_adı" türünde bir uzantı içerebilir.

Kısacası:

FQDN (URL'nin alanı kısmı) MAYIS iletilebilir açık olarak iç ClientHelloSNI uzantısı kullanılırsa paket
İstek URL'si bir HTTP işi (OSI Katman 7) olduğundan, URL'nin ( /path/?some=parameters&go=here) geri kalanında herhangi bir işletme ClientHellobulunmaz, bu nedenle asla TLS anlaşmasında görünmez (Katman 4 veya 5). Bu bir de daha sonra gelecek GET /path/?some=parameters&go=here HTTP/1.1, HTTP isteği SONRA güvenli TLS kanalı oluşturulur.

YÖNETİCİ ÖZETİ

Alan adı açık bir şekilde iletilebilir (TLS anlaşmasında SNI uzantısı kullanılıyorsa), ancak URL (yol ve parametreler) her zaman şifrelenir.

MART 2019 GÜNCELLEME

Bunu getirdiğin için teşekkürler carlin.scott .

SNI uzantısındaki taşıma kapasitesi artık bu taslak RFC teklifi yoluyla şifrelenebilir . Bu özellik sadece TLS 1.3'te mevcuttur (bir seçenek olarak ve bunu uygulamak her iki tarafa da bağlıdır) ve TLS 1.2 ve altı ile geriye dönük uyumluluk yoktur.

CloudFlare bunu yapıyor ve burada iç kısımlar hakkında daha fazla bilgi edinebilirsiniz - Tavuk yumurtanın önüne gelmesi gerekiyorsa, tavuğu nereye koyarsınız?

Pratikte bu, FQDN'yi düz metin olarak iletmek yerine (Wireshark yakalama şovları gibi) artık şifreli olduğu anlamına gelir.

NOT: Bu, ters DNS araması yine de hedeflenen hedef ana bilgisayarı gösterebileceğinden, gizlilik yönünü güvenlikten daha fazla ele alır.

— evilSnobu
kaynak

37

Mükemmel cevap, A'dan Z'ye tam açıklama ile. Yönetici özeti seviyorum. Made my day @evilSnobu

— oscaroscar

4

Mükemmel cevap, upvote! Tarayıcı geçmişi bir sızıntı olabileceğinden hala istemci bölümünü düşünün. Ancak, taşıma katmanı ile ilgili olarak URL parametreleri şifrelenir.

— Jens Kreidler

2

Bu cevabı, TLS 1.3'ün SNI uzantısını şifrelediği ve en büyük CDN'nin tam da bunu yaptığı gerçeğiyle güncellemek isteyebilirsiniz: blog.cloudflare.com/encrypted-sni Tabii ki bir paket dinleyicisi sadece ters bir arama yapabilir bağlandığınız IP adresleri.

— carlin.scott

@evilSnobu, ancak kullanıcı adı: şifre kullanıcı adının bir kısmı : password@domain.com şifreli değil mi? Bu nedenle hassas verileri https kullanarak url'ye geçirmek güvenlidir.

— Maksim Shamihulau

1

Kabloda (taşıma sırasında) şifrelenir, ancak uçlardan biri (kullanıcı veya sunucu) URL'yi düz metin dosyasına kaydederse ve kimlik bilgilerini temizlemezse ... şimdi farklı bir konuşmadır.

— evilSnobu

159

Gibi diğer cevaplar zaten işaret vardır, https "URL'ler" gerçekten de şifrelenir. Bununla birlikte, etki alanı adını çözerken DNS isteğiniz / yanıtınız muhtemelen değildir ve elbette bir tarayıcı kullanıyorsanız URL'leriniz de kaydedilebilir.

— Zach Scrivena
kaynak

21

Tamamen alakasız bir sitenin belirli bir URL'nin geçmişinizde olup olmadığını test etmesine izin veren Javascript saldırıları olduğundan URL kaydı önemlidir. Bir URL'yi uzun bir rastgele dize ekleyerek öngörülemez hale getirebilirsiniz, ancak genel bir URL ise saldırganın ziyaret edildiğini söyleyebilir ve içinde kısa bir sır varsa, bir saldırgan makul hızda.

— Steve Jessop

8

@SteveJessop, lütfen "tamamen alakasız bir sitenin belirli bir URL'nin geçmişinizde olup olmadığını test etmesine izin veren Javascript kesmek"

— Pacerier

6

@Pacerier: Tabii ki tarihi kesiyor, ama o zaman bahsettiğim şey stackoverflow.com/questions/2394890/… gibi şeylerdi . 2010 yılında bu meselelerin araştırılması ve saldırıların düzeltilmesi büyük bir olaydı, ama şu an gerçekten takip etmiyorum.

— Steve Jessop

2

@Pacerier: daha fazla örnek: webdevwonders.com/… , webdevwonders.com/…

— Steve Jessop

1

OpenDNS'yi şifreli DNS servisi ile kullanabilirsiniz. Mac bilgisayarımda kullanıyorum, ancak Windows sürümünün düzgün çalışmadığını gördüm. Bu bir süre önceydi, bu yüzden şimdi işe yarayabilir. Linux için henüz bir şey yok. opendns.com/about/innovations/dnscrypt

— SPRBRN

101

URL dahil tüm istek ve yanıt şifrelenir.

Bir HTTP Proxy kullandığınızda, hedef sunucunun adresini (etki alanını) bildiğini, ancak bu sunucuda istenen yolu bilmediğini unutmayın (örn. İstek ve yanıt her zaman şifrelenir).

— Peter Štibraný
kaynak

1

İsteğin tamamı. Ana Bilgisayar Adı açık bir şekilde gönderilir. Diğer tüm şifrelidir.

— Sam Sirry

98

Önceki cevaplara katılıyorum:

Açık olmak gerekirse:

TLS ile URL'nin ilk kısmı ( https://www.example.com/ ) bağlantıyı kurdukça görünmeye devam eder. İkinci kısım (/ herearemygetparameters / 1/2/3/4) TLS tarafından korunmaktadır.

Ancak, GET isteğine parametre koymamanız için bir takım nedenler vardır.

İlk olarak, başkaları tarafından daha önce de belirtildiği gibi: - tarayıcı adres çubuğundan sızıntı - geçmişte sızıntı

Buna ek olarak http yönlendiricisi aracılığıyla URL sızıntısı da vardır: kullanıcı TLS'de A sitesini görür, ardından B sitesine giden bir bağlantıyı tıklatır. Her iki site de TLS'de ise B sitesine yönelik istek, A sitesindeki URL'yi isteğin yönlendirme parametresi. Ve B sitesindeki yönetici bunu B sunucusunun günlük dosyalarından alabilir.)

— Tobias
kaynak

3

@EJP Tobias'ın ne dediğini anlamadın. A sitesinde sizi B sitesine götürecek bir bağlantıyı tıklarsanız, B sitesinin yönlendiren URL'sini alacağını söylüyor. Örneğin, siteA.com?u=kullaniciadi&pw=123123 adresindeyseniz , yönlendiren olarak " siteA.com?u=kullaniciadi&pw=123123 " siteB.com'u alır. URL, tarayıcı tarafından HTTPS içinde siteB.com'a gönderilir. Eğer bu doğruysa, bu çok kötü. Bu doğru Tobias mı?

— trusktr

9

@EJP, etki alanı, tüm modern web tarayıcılarının kullandığı SNI nedeniyle görülebilir . Ayrıca , ziyaret ettiğiniz sitenin alan adını herkesin görebildiğini gösteren EFF'deki bu şemaya bakın. Bu, tarayıcı görünürlüğü ile ilgili değildir. Kulak misafiri olanlar için görünür olanla ilgilidir.

— Buge

10

@trusktr: Tarayıcılar HTTPS sayfalarından bir Yönlendirme başlığı göndermemelidir. Bu, HTTP spesifikasyonunun bir parçasıdır .

— Martin Geisler

8

@MartinGeisler, Anahtar kelime "gerekir". Tarayıcılar "zorunluluk" umurumda değil ("zorunluluk" yerine). Kendi bağlantısından: "güçlü kullanıcı Referer alanı gönderilmez olup olmadığını seçmek mümkün önerilir Örneğin, bir tarayıcı istemci sırasıyla hangi isimsiz / açıkça gezen bir geçiş düğmesini olabilir. Etkinleştirmek / devre gönderilmesi Yönlendiren ve Bilgiden . Ops, tam olarak Chrome'un yaptığı şeydi. Gizli modda olsanız bile Chrome hariç Yönlendiriciyi sızdırıyor .

— Pacerier

48

Marc Novakowski'nin yararlı yanıtına ek olarak - URL, sunucudaki günlüklerde saklanır (örn. / Etc / httpd / logs / ssl_access_log), bu nedenle sunucunun bilgileri daha uzun süre korumasını istemiyorsanız terimiyle URL'ye koymayın.

— Rhodri Cusack
kaynak

34

Evet ve hayır.

Sunucu adresi bölümü, bağlantıyı ayarlamak için kullanıldığından şifrelenmez.

Bu, gelecekte şifreli SNI ve DNS ile değişebilir, ancak 2018'den itibaren her iki teknoloji de yaygın olarak kullanılmamaktadır.

Yol, sorgu dizesi vb. Şifrelenir.

GET istekleri için kullanıcı URL'yi konum çubuğundan kesip yapıştırabilecektir ve muhtemelen ekrana bakan herkes tarafından görülebilecek gizli bilgileri koymak istemeyeceksiniz.

— SoapBox
kaynak

8

Bunu + 1'lemek istiyorum, ancak "evet ve hayır" yanıltıcı buluyorum - sadece sunucu adının şifreleme olmadan DNS kullanılarak çözüleceğini işaret edecek şekilde değiştirmelisiniz.

— Lawrence Dol

7

Anladığım kadarıyla OP, URL kelimesini doğru anlamda kullanıyor. URL'deki ana bilgisayar adı ile DNS çözümlemesindeki ana bilgisayar adı arasındaki farkı açıkça belirtmediği için bu cevabın daha yanıltıcı olduğunu düşünüyorum.

— Guillaume

4

URL şifreli. HTTP işleminin her yönü şifrelenir. Sadece 'her şey' değil. Dönemi. -1.

— user207421

4

@EJP ama DNS arama yapar böylece teknik olmayan kişiye, URL bir nokta kısmında ne kullanımını, tüm URL şifreli değildir. Teknik olmayan şeyleri aramak için yalnızca Google.com'u kullanan teknik olmayan kişi, verilerin nihayetinde nerede olduğunu veya nasıl işlendiğini bilmez. Kullanıcının ziyaret ettiği URL'nin bir parçası olan alan% 100 şifreli değil çünkü ben saldırgan olarak hangi siteyi ziyaret ettiğini koklayabiliyorum. Yalnızca bir URL'nin / yolu, layman'a doğal olarak şifrelenir (nasıl olduğu önemli değildir).

— trusktr

6

@EJP, @ trusktr, @ Lawrence, @ Guillaume. Hepiniz yanılıyorsunuz. Bunun DNS ile ilgisi yoktur. SNI " sanal etki alanının adını TLS anlaşmasının bir parçası olarak gönder ", bu nedenle DNS kullanmasanız veya DNS'iniz şifrelenmiş olsa bile, bir sniffer yine de isteklerinizin ana bilgisayar adını görebilir .

— Pacerier

9

Trafiği izleyen bir üçüncü taraf, trafiğinizi inceleyerek ve başka bir kullanıcının siteyi ziyaret ederken sahip olduğu trafikle karşılaştırarak ziyaret ettiğiniz sayfayı belirleyebilir. Örneğin, bir sitede yalnızca biri diğerinden çok daha büyük olan 2 sayfa varsa, veri aktarımının boyutunun karşılaştırılması hangi sayfayı ziyaret ettiğinizi gösterir. Bunun üçüncü taraftan gizlenmesinin yolları vardır, ancak bunlar normal sunucu veya tarayıcı davranışı değildir. Örneğin SciRate'in bu makalesine bakınız, https://scirate.com/arxiv/1403.0297 .

Genel olarak diğer cevaplar doğrudur, ancak bu makale ziyaret edilen sayfaların (yani URL) oldukça etkili bir şekilde belirlenebileceğini göstermektedir.

— pbhj
kaynak

Bu gerçekten sadece çok küçük sitelerde uygulanabilir ve bu durumlarda sitenin teması / tonu / doğası her sayfada muhtemelen aynı olacaktır.

— Cameron

5

Verdiğim alıntıdan: "Sağlık, finans, hukuk hizmetleri ve video akışı gibi alanlarda yaygın olarak kullanılan, endüstri lideri 10 web sitesinin HTTPS dağıtımlarını kapsayan 6000'den fazla web sayfasına yönelik bir trafik analizi saldırısı sunuyoruz. Saldırımız, % 89 doğrulukla aynı web sitesini [...] " Fizibilite ile ilgili sonucunuz yanlış gibi görünüyor.

— pbhj

2

Bu tür bir güvenlik açığı hakkında daha fazla bilgi edinmek isteyen herkes için, bu tür saldırılara genellikle yan kanal saldırıları denir .

— Dan Bechard

7

Tam URL'nin gizliliğine her zaman güvenemezsiniz. Örneğin, bazen kurumsal ağlarda olduğu gibi, şirket PC'niz gibi sağlanan cihazlar ekstra bir "güvenilir" kök sertifika ile yapılandırılır, böylece tarayıcınız https trafiğinin proxy (ortadaki adam) denetimine sessizce güvenebilir . Bu, tam URL'nin incelemeye açık olduğu anlamına gelir. Bu genellikle bir günlüğe kaydedilir.

Ayrıca, şifreleriniz de açığa çıkmış ve büyük olasılıkla günlüğe kaydedilmiştir ve bu bir defalık şifreleri kullanmanın veya şifrelerinizi sık sık değiştirmenin başka bir nedenidir .

Son olarak, başka türlü şifrelenmezse istek ve yanıt içeriği de görünür.

Kontrol kurulumunun bir örneği Checkpoint tarafından burada açıklanmaktadır . Birlikte verilen PC'leri kullanan eski bir "internet kafe" de bu şekilde kurulabilir.

— Don Gillis
kaynak

6

Yinelenen bir sorudaki cevabımla bağlantı kuruluyor . URL yalnızca tarayıcı geçmişinde mevcut değildir, sunucu tarafı da günlüğe kaydeder, ayrıca üçüncü taraf içeriği kullanırsanız URL'yi kontrolünüz dışındaki kaynaklara gösteren HTTP Yönlendiricisi başlığı olarak da gönderilir.

— JoshBerke
kaynak

Bu bir sorun olmasa da üçüncü taraf aramalarınızı HTTPS de sağlamak doğru mu?

— Liam

3

URL'yi görebilmeleri için üçüncü taraflar sertifikasıyla şifrelenir

— JoshBerke

5

Şimdi 2019 ve TLS v1.3 piyasaya sürüldü. Cloudflare'ye göre, SNI, TLS v1.3 sayesinde şifrelenebilir. Bu yüzden kendime harika dedim! bulutflare.com'un TCP paketlerinde nasıl göründüğüne bakalım. Bu yüzden, tarayıcı sniper olarak Google Chrome'u kullanarak tarayıcı ve wireshark'ı kullanan bulut alevleme sunucusunun yanıtından bir "istemci merhaba" el sıkışma paketi yakaladım. İstemci Merhaba paketinde sunucu adını hala düz metin olarak okuyabilirim.

Bu nedenle, anonim bir bağlantı olmadığı için okuyabileceğiniz şeylere dikkat edin. İstemci ve sunucu arasındaki bir ara katman yazılımı, bir istemci tarafından istenen her etki alanını günlüğe kaydedebilir.

SNI'nin şifrelenmesi, TLSv1.3 ile birlikte çalışmak için ek uygulamalar gerektiriyor gibi görünüyor

Aşağıdaki makalede TLSv1.3'ün bir parçası olarak Cloudflare tarafından sağlanan SNI'nin şifrelenmesi açıklanmaktadır. Ancak, cloudflare.com adresindeki tüm HTTP URL'leri, TLS v1.3 altında TCP paketinde düz metin halindedir

[ https://blog.cloudflare.com/encrypted-sni/ Karışık [3 ]

— Nicolas Guérinet
kaynak

"SNI olabilir şifrelenmesini" - yani anahtar nokta bu. Cloudflare.com/ssl/encrypted-sni adresini mevcut Google Chrome ile kontrol etmek , "Tarayıcınız bu sayfayı ziyaret ederken SNI'yı şifrelemedi" diyor. Tango için iki kişi ...

— Piskvor binadan ayrıldı

Görünüşe göre şu anki Firefox ESNI yapabilir , ancak varsayılan olarak devre dışıdır: etkinleştirmeniz network.security.esni.enabled, network.trr.mode2'ye ayarlamanız gerekir (şu anda DoH çözümleyicinizi CloudFlare olarak ayarlar) ve tarayıcıyı yeniden başlatın (sic!); alan adının altyapısı tarafından desteklenen ESNI'yı kullanır. Ayrıntılar için blog.mozilla.org/security/2018/10/18/… adresine bakın.

— Piskvor binadan ayrıldı

3

Evet ve hayır.

Gerçek URL şifrelenmiştir, yani birisi ziyaret ettiğiniz bir web sitesindeki web sayfasını tam olarak anlayamaz. Ancak, TLS üstbilgisi şifrelenmemiş eriştiğiniz sunucunun ana bilgisayar adını (örn. Www.quora.com) içerir. DNS de neredeyse hiç şifrelenmez ve eriştiğiniz ana bilgisayar adını da sızdırır. Bu DNS sorgusu varsayılan olarak neredeyse her zaman ISS'nizin sunucularına karşıdır, bu nedenle DNS isteklerinizi diğer DNS sunucularına koklayarak veya kendi URL'lerinizi kaydederek eriştiğiniz her web sitesinin ana bilgisayar adını kolayca görebilirler.

Bununla birlikte, endişeniz birisinin hangi web sitesine eriştiğinizi öğrenip öğrenemeyeceği ise bu yeterli değildir. HTTPS, OSI Katman 4'te çalışır ve bu düzeydeki tüm verileri şifreler, ancak daha düşük düzeyler, onu taşıyan ağlara bırakılır. Birisi yine de OSI katman 3'teki trafiğin yolunu ve hedefini izleyebilir. Bu, trafiğinizi koklayan birinin IP adresini ve uzantıya eriştiğiniz web sitesinin alan adını bulabileceği anlamına gelir.

Daha da kötüsü, ilk kez (ve daha sonraki bazı zamanlarda, DNS önbelleğinizin nasıl / ne zaman temizlendiğine bağlı olarak) DNS sunucunuz HTTPS hedef URL'nizin IP adresini istemek için şifrelenmemiş bir DNS sorgusu gönderirsiniz (yine, DNS sunucunuzun yolu boyunca trafiğinize erişimi olan herkes bu sorguyu koklayabilir.

Yüksek bir gizlilik standardı arıyorsanız, HTTPS'yi güvenilir bir şifreli VPN ve / veya şifreli proxy hizmeti ile desteklemeniz gerekir. DNS sorgularınızı korumak için DNSSEC'yi de inceleyebilirsiniz. Bu hizmet güvenilir olmalıdır, çünkü trafiğinizin kaynaklarının ve hedeflerinin yukarıdaki izlemesini kolayca gerçekleştirebilirler.

— Himanshu Patel
kaynak

2

Zaten burada bazı iyi cevaplar olduğunu düşündüm, çoğu tarayıcı navigasyonuna odaklanıyor. Bunu 2018'de yazıyorum ve muhtemelen biri mobil uygulamaların güvenliği hakkında bilgi edinmek istiyor.

Mobil uygulamalar için uygulamanın her iki ucunu (sunucu ve uygulama) kontrol ederseniz, HTTPS kullandığınız sürece güvende olursunuz . iOS veya Android sertifikayı doğrulayacak ve olası MiM saldırılarını azaltacaktır (tüm bunlarda tek zayıf nokta bu olacaktır). Hassas verileri, aktarım sırasında şifreleneceği HTTPS bağlantıları aracılığıyla gönderebilirsiniz . Sadece uygulamanız ve sunucu https yoluyla gönderilen parametreleri bilir.

Buradaki tek "belki", istemci veya sunucuya, https'ye sarılmadan önce verileri görebilen kötü amaçlı yazılım bulaşmışsa olabilir. Ancak birisine bu tür bir yazılım bulaşmışsa, onu taşımak için ne kullanırsanız kullanın, verilere erişimi olacaktır.

— Ricardo BRGWeb
kaynak

1

Buna ek olarak, bir ReSTful API oluşturuyorsanız, istemci bir tarayıcı olmayabilir ve bağlantıları tıklayan kişileriniz olmayabilir.

Bu durumda, bir taşıyıcı simgesi almak için oAuth2 girişini tavsiye ederim. Bu durumda, tek hassas veriler ilk kimlik bilgileri olacaktır ... muhtemelen yine de bir post isteğinde bulunmalıdır

— Chris Rutledge
kaynak

0

Zaten çok iyi cevaplarınız olsa da, bu web sitesindeki açıklamayı gerçekten seviyorum: https://https.cio.gov/faq/#what-information-does-https-protect

Kısacası: HTTPS kullanmak gizler:

HTTP yöntemi
sorgu parametreleri
POST gövdesi (varsa)
İstek başlıkları (çerezler dahil)
Durum kodu

— pedrorijo91
kaynak

HTTPS URL'leri şifreli mi?

Kısacası:

YÖNETİCİ ÖZETİ

MART 2019 GÜNCELLEME

Sunucu adresi bölümü, bağlantıyı ayarlamak için kullanıldığından şifrelenmez.

Yol, sorgu dizesi vb. Şifrelenir.