Kann ein Angreifer Daten in einer URL über HTTPS aufspüren?

19

Können in einer URL enthaltene Daten als sicher angesehen werden, wenn die Verbindung über HTTPS hergestellt wird? Wenn ein Benutzer beispielsweise in einer E-Mail auf einen Link klickt, der auf https://meinewebsite.de?mysecretstring=1234 verweist, kann ein Angreifer dann "mysecretstring" von der URL abrufen?

James Cadd
quelle

Antworten:

27

Die gesamte HTTP-Anforderung (und Antwort) wird einschließlich der URL verschlüsselt.

Aber ja, es gibt eine Möglichkeit, wie ein Angreifer die vollständige URL abrufen kann: über den Referer-Header. Wenn sich eine externe Datei (Javscript, CSS usw.) nicht über HTTPS befindet, kann die vollständige URL im Referer-Header abgerufen werden. Dasselbe gilt, wenn der Benutzer auf einen Link auf der Seite klickt, der zu einer HTTP-Seite (ohne SSL) führt.

Außerdem werden DNS-Anforderungen nicht verschlüsselt, sodass ein Angreifer möglicherweise weiß, dass der Benutzer zu mysite.com wechselt.

Julien
quelle
Wenn Sie "die vollständige URL" sagen, enthält dies die Parameter (z. B. mysecretstring = 1234)?
sampablokuper
Auf den Referer - Header, wenn Parameter in der URL sind , kann es zu sehen
chmeee
1
Laden Sie also keine externen Bilder, CSS, JS. Verwenden / Speichern Sie die geheime Zeichenfolge und leiten Sie sie intern um, um die geheime Zeichenfolge zu entfernen. Danach können externe URLs verwendet werden.
Neil McGuigan
14

Nein, sie können die Verbindung sehen, dh mysite.com, aber nicht? Mysecretstring = 1234, die https ist von Server zu Server

Chris
quelle
6
Tatsächlich können sie nicht einmal sehen, mit welchem ​​Domainnamen Sie sich verbinden, sondern mit welcher IP-Adresse. Da SSL-Zertifikate nur in einer 1: 1-Beziehung zwischen Domainname und IP-Adresse funktionieren, ist dies höchstwahrscheinlich irrelevant. Auch wenn der Angreifer Ihren DNS-Verkehr abhören kann, wird dies möglicherweise aufgedeckt. GET- und POST-Parameter sind so sicher wie der HTTPS-Verkehr: Wenn Sie der Client sind und das Serverzertifikat gültig und kompromisslos ist, sind die Daten gegen das Abhören durch Dritte gesichert.
Paul
0

Sie müssten den Verschlüsselungsschlüssel haben. Theoretisch ist das nicht möglich, aber jeder gute Angriff könnte. Dies ist der gesamte Zweck von SSL, um alle Daten zu verschlüsseln, die an den und vom Server gesendet werden, um zu verhindern, dass er schnüffeln kann.

Chris
quelle
0

Bewahren Sie Ihre Weblogs sicher auf oder schreiben Sie sie nicht einmal. Wenn Sie einen Remote-Exploit erhalten, bei dem die Protokolle gelesen werden können, werden alle URL-Daten in den Protokollen angezeigt.


quelle
Post-Daten sind nicht in den Protokollen.
Ryaner
all dies ist sehr konfigurationsabhängig =)
spacediver
-1

Nur wenn sie in der Lage sind, die https-Authentifizierung durch eine Art von Spoofing zu ermitteln

Jimsmithkka
quelle
Meinen Sie einen Man-in-the-Middle-Angriff? Dies ist mehr als nur Schnüffeln. Der Angreifer muss sich als Server ausgeben.
Julien
Nun, es ist MiM für den Handschlag, aber nachdem es nur geschnüffelt hat, ist das spezifische Werkzeug Hamster und Frettchen, das ich gesehen habe, demonstriert
Jimsmithkka