Bir saldırgan, bir URL'deki verileri HTTPS üzerinden koklayabilir mi?

19

Bağlantı HTTPS üzerinden yapılırsa, bir URL'ye dahil edilen veriler güvenli kabul edilebilir mi? Örneğin, bir kullanıcı e-postadaki https://mysite.com?mysecretstring=1234 adresini gösteren bir bağlantıyı tıklarsa , bir saldırganın URL'den "mysecretstring" i alması mümkün olur mu?

security https url

— James Cadd
kaynak

27

URL dahil tüm HTTP isteği (ve yanıtı) şifrelenir.

Ancak evet, bir saldırganın tam URL'yi almasının bir yolu vardır: Tavsiye başlığı üzerinden. HTTPS üzerinde olmayan herhangi bir harici dosya (Javscript, CSS, vb.) Varsa, URL'nin tamamı Referansın üstbilgisinde koklanabilir. Kullanıcı, sayfadaki HTTP (SSL yok) sayfasına yönlendiren bir bağlantıyı tıkladığında da aynıdır.

Ayrıca, DNS istekleri şifrelenmez, bu nedenle bir saldırgan kullanıcının mysite.com'a gideceğini bilebilir.

— Julien
kaynak

"Tam URL" dediğinizde, bu parametreleri içeriyor mu (örn. Mysecretstring = 1234)?

— sampablokuper

— Yönlendiren

1

bu yüzden harici görüntüler yüklemeyin, css, js. gizli dizeyi kullanın / saklayın ve gizli dizeden kurtulmak için dahili olarak yönlendirin. Bundan sonra harici URL'ler kullanabilir.

— Neil McGuigan

14

Hayır, mysite.com bağlantısını görebilirler, ancak? Mysecretstring = 1234 https sunucudan sunucuya değil

— Chris
kaynak

6

Aslında hangi alan adına bağlandığınızı, ancak hangi IP adresini bile göremiyorlar. SSL sertifikaları yalnızca makul bir şekilde 1: 1 etki alanı adı-IP adresi ilişkisi üzerinde çalıştığından, bu büyük olasılıkla önemsizdir. Ayrıca, saldırgan DNS trafiğinizi koklayabilirse, bu açığa çıkabilir. GET ve POST parametreleri HTTPS trafiği kadar güvenlidir: İstemciyseniz ve sunucu sertifikasının güvenliği ihlal edilmişse, veriler üçüncü taraflarca gizli dinlemeye karşı güvenlidir.

— Paul

0

Şifreleme anahtarına sahip olmaları gerekir. Teorik olarak bu mümkün değildir, ancak herhangi bir iyi saldırı olabilir. Bu, SSL'nin amacı, sunucuya gelen ve sunucudan gönderilen tüm verileri şifrelemeyi önlemek için şifrelemektir.

— Chris
kaynak

0

Web günlüklerinizi güvende tutun, hatta yazmayın. Günlüklerin okunabileceği bir uzaktan yararlanırsanız, URL verileri günlüklerde görünür olur.

Kayıt verileri günlüklerde değil.

— Ryaner

tüm bunlar yapılandırmaya bağımlı =)

— spacediver

-1

Sadece bir tür kimlik sahtekarlığıyla https yetkisini koklayabilirlerse

— Jimsmithkka
kaynak

Ortadaki adam saldırısı mı demek istiyorsun? Bu koklamadan daha fazlasıdır, saldırganın sunucuyu taklit etmesi gerekir.

— Julien

el sıkışma için onun MiM, ama sadece koklama sonra, belirli bir araç gösterdi gördüğüm hamster ve gelincik

— Jimsmithkka