it-swarm-ja.com

HTTPS経由で閲覧するときに、サードパーティがURLを読み取ることはできますか?

HTTPSは、コンピューターとサーバー間の接続を暗号化して、サードパーティが表示できないようにすることは誰もが知っています。ただし、ISPまたはサードパーティは、ユーザーがアクセスしたページの正確なリンクを確認できますか?

たとえば、私は訪問します

https://www.website.com/data/abc.html

ISPは、私が* /data/abc.htmlにアクセスしたことを知っていますか、それともwww.website.comのIPにアクセスしたことを知っていますか?

彼らが知っているなら、誰かがインターネットログを読んでユーザーが見た正確なコンテンツを見つけることができるのに、なぜウィキペディアとグーグルはHTTPSを持っているのですか?

32
Anonymous

左から右へ:

スキーマhttps:は、明らかに、ブラウザによって解釈されます。

ドメイン名www.website.comはDNSを使用してIPアドレスに解決されます。 ISP 表示されますこのドメインのDNS要求と応答。

パス/data/abc.htmlはHTTPリクエストで送信されます。 HTTPSを使用する場合は、暗号化されます残りのHTTP要求および応答とともに。

クエリ文字列?this=thatは、URLに存在する場合、パスとともにHTTPリクエストで送信されます。したがって、暗号化されています。

フラグメント#thereは、存在する場合、どこにも送信されません–ブラウザによって解釈されます(返されるページのJavaScriptによって解釈される場合もあります)。

48
user1686

ISPは、あなたがwww.website.comに関連付けられたIPアドレスにアクセスしたことだけを認識します(DNSを使用していて、トラフィックを特に探している場合はURLかもしれません。DNSクエリが通過しない場合は、通過しません。それを参照してください)。

(ここで少し我慢してください-私は答えを得ます。)

HTTPプロトコルが機能する方法は、ポート(通常はポート80)に接続し、Webブラウザーが必要なページをサーバーに伝達することです。http://www.sitename.com/url/of/site.htmlを検索する単純な要求には、次の行があります。

 GET /url/of/site.html HTTP/1.1 
ホスト:www.sitename.com 

HTTPSは、ポート443を除いてまったく同じことを行います– and TCPセッション全体(つまり、上記の引用符に表示されているすべてのものと応答)をSSL暗号化にラップしますセッション– ISPはトラフィックを認識しません(ただし、サイトのサイズと、最初にwww.sitename.comをIPアドレスに解決するためのDNSルックアップに基づいて何かを推測できる場合があります)。

もちろん、ページに「Webバグ」が埋め込まれている場合、これにより、情報配布者の「パートナー」に、あなたが見ているものとあなたが誰であるかについてのヒントを与えることができます。同様に、信頼の連鎖が壊れている場合、ISPは実行できます。中間者攻撃。理論的には、プライベートエンドツーエンド暗号化を使用できる理由は、ブラウザで配布されるCA証明書のためです。 ISPまたは政府がCA証明書を追加するか、CAを侵害する可能性があり、両方が過去に発生した場合は、セキュリティが失われます。中国のグレートファイアウォールは、HTTPSデータを読み取るためにman-In-The-Middle攻撃を効果的に実行していると思いますが、私がそこにいたのは久しぶりです。

コンピュータに出入りするトラフィックをスニッフィングするソフトウェアを入手することで、これを自分で簡単にテストできます。 Wiresharkと呼ばれる無料のソフトウェアがこれをやってくれると思います。

13
davidgo

これがコメントまたは回答に値するかどうかはわかりませんが、1つの補遺を共有したいと思います。

ここでの答えは、すべきが起こることを示しています。問題は、URLを読み取ることができるcanです。その答えは「はい」ですが、比較的可能性は低いです。

攻撃者(サードパーティ)は、httpsトラフィックを完全に傍受し、特定のケースですべてのリクエストを読み取る可能性があります。詳細については、 [〜#〜] mitm [〜#〜] および SSLStrip をお読みください。理解のために必要な場合は、これについてさらに詳しく説明します。

帯域幅の浪費であるだけでなく、見つけて訴えた場合に失うものが増えるため、ISPがこれを行うことを期待するべきではありません。しかし、あなたの質問に対するより正確な答えはこれを行うことができますか?はいですが、グーグルやウィキをしているものを誰かが気にかけてくれる可能性は低いです。

0
tophersmith116