POST verileri bir SSL bağlantısı üzerinden şifrelenmiş mi?

13

Web sunucumu SSL kullanacak şekilde ayarladım (genel sunuculara taşımadan önce hazırlama senaryom için WAMP kullanıyorum). Eldeki sitenin amacı başarılı oldu ve HTTPS protokolünü kullanarak siteyi uzak bilgisayarlardan kullanabiliyorum.

Kullanıcılarımdan biri (test kullanıcıları) ile ortaya çıkan bir endişe POST verileriyle ilgiliydi. Test senaryosunda, potansiyel müşterilerimizden birinde yerinde, ÇOK seçici kurumsal güvenlik duvarlarının arkasındaki siteye erişiyor (bu sitenin AUP için nasıl uygulandığını zaten öğrendik ve temiziz). POST ve GET verilerini izlemek için Firebug kullanarak siteyi FireFox'ta çalıştırıyor. Soru burada:

Firebug penceresinde, XMLHTTPRequest öğesinden gelen POST ve Yanıt düz metin olarak geri geliyor. Bu güvenli bağlantıyı başlatan kişi olduğu için mi? POST / Yanıt verileri ağ yöneticilerine veya günlüklerine görünecek mi?

Lütfen buradaki amacın yöneticileri aldatmak veya politikaları atlatmak olmadığını unutmayın; Bu hassas verileri iletmek gerekir çeşitli yerlerde yerinde insanlar için tasarlanmış bir uygulamadır. Kullanım, karşılaştığımız her ağ altyapısıyla koordine edilecektir.

ssl  https  encryption 
Honus Wagner
kaynak
url ve sorgu dizesi bile şifreli
Neil McGuigan
Basit bir test ve koklama araçlarının doğru kullanımı olarak, http.request.uri'ye göre filtre uygulamak için tshark / WireShark kullanın ve https ile çalıştığınızda görüntülenecek hiçbir şey olmadığını görürsünüz. Öte yandan, http üzerinden aynı isteği gönderin ve her şeyi görürsünüz.
Maziyar

Yanıtlar:

20

Evet, POST verileri şifrelenmelidir. HTTP isteğindeki her şey bir SSL görüşmesinde şifrelenmelidir. Firebug, SSL verilerinin tarayıcı tarafından şifresi çözüldükten sonra bilgilerini alır. Emin olmak istiyorsanız, Fiddler veya WebScarab gibi bir şeyi , aralarında oturan bir proxy olarak kullanın, ancak SSL ile güzel oynamalarını sağlamak için oyun oynamak zorunda kalabilirsiniz. İşte Fiddler kullanarak HTTPS trafiğinin şifresini çözme hakkında bir sayfa .

squillman
kaynak
3
Şifrelemeden şüpheleniyorsanız, Wireshark'ı istemciye atın ve trafiği koklayın.
Evan Anderson
Fiddler'ı kontrol ettim ve POSTS ve GETS'yi HTTPS ve HTTP verileri arasında karşılaştırdım ve POSTS ve GETS'nin güvenli olduğunu doğruladım. Teşekkürler!
Honus Wagner
@Evan Wireshark'da ne aramalıyım?
Honus Wagner
3
@Honus: Çöp arıyorsun :). Veriler şifrelenmemişse, Wireshark'ta görebilirsiniz. Şifrelenmişse şifrelenmiş (okunamayan) verileri görürsünüz.
Güneşli
1
@Honus: Wireshark bir paket analizörüdür, böylece kablo üzerinden gelen tüm paketleri gösterebilir / gösterecektir. Uygulama düzeyi protokollerinden bağımsız olarak tüm ağ trafiğini görme olanağınız vardır. Aradığınızı daha kolay görebilmeniz için işleri daraltmanızı sağlayan filtreler (HTTP için bir tanesi dahil) vardır.
squillman
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.