Kann die URL beim Surfen über HTTPS von Dritten gelesen werden?

32

Wir alle wissen, dass HTTPS die Verbindung zwischen dem Computer und dem Server verschlüsselt, sodass sie nicht von Dritten eingesehen werden kann. Kann der ISP oder ein Dritter jedoch den genauen Link der Seite sehen, auf die der Benutzer zugegriffen hat?

Zum Beispiel besuche ich

https://www.website.com/data/abc.html

Weiß der ISP, dass ich auf * / data / abc.html zugegriffen habe oder nur, dass ich die IP von www.website.com besucht habe?

Wenn sie wissen, warum haben Wikipedia und Google dann HTTPS, wenn jemand einfach die Internetprotokolle lesen und den genauen Inhalt herausfinden kann, den der Benutzer angesehen hat?

Anonym
quelle
7
Tipp: Wenn Sie Ihr Konto nicht registrieren, diesen Ort von verschiedenen IP-Adressen aus besuchen und Ihr Cookie nicht behalten, wird die Teilnahme am Super-User ein wenig… fragmentiert sein, was bedeutet, dass Sie nicht einmal Antworten auf Ihre eigenen Posts akzeptieren können oder Kommentare hinzufügen. Ich schlage vor, dass Sie hier ein Konto registrieren.
Slhck

Antworten:

48

Von links nach rechts:

Das Schema https: wird offensichtlich vom Browser interpretiert.

Der Domänenname www.website.com wird mithilfe von DNS in eine IP-Adresse aufgelöst. Ihr ISP sieht die DNS-Anfrage für diese Domain und die Antwort.

Der Pfad /data/abc.html wird in der HTTP-Anforderung gesendet. Wenn Sie HTTPS verwenden, wird es zusammen mit dem Rest der HTTP-Anforderung und -Antwort verschlüsselt .

Die Abfragezeichenfolge ?this=that , falls in der URL vorhanden, wird in der HTTP-Anforderung zusammen mit dem Pfad gesendet. Es ist also auch verschlüsselt.

Das Fragment wird #there , falls vorhanden, nirgendwo gesendet - es wird vom Browser interpretiert (manchmal von JavaScript auf der zurückgegebenen Seite).

Grawity
quelle
3
Sie haben vergessen, dass moderne Browser, die SNI unterstützen, den Hostnamen auch bei HTTPS-Anfragen im Klartext ansagen.
Monstieur
9
@Kurian: Was wenig ausmacht, da der Hostname schon per DNS "angekündigt" wird.
Grawity
2
@Kurian: Die IP-Adresse könnte auf andere Weise ermittelt werden, ist dies in der Praxis jedoch selten. Ein einzelnes Protokoll zu betrachten, ohne zu berücksichtigen, wie es tatsächlich verwendet wird, kann dazu führen, dass wichtige Teile übersehen werden.
Joachim Sauer
Ich weiß nicht, ob Tor denselben oder einen anderen Exit-Knoten zum Auflösen von Namen und Herstellen der eigentlichen HTTPS-Verbindung verwendet. Wenn separate Knoten verwendet werden, ist dies immer noch der einzige Ort, an dem SNI eine Rolle spielen würde.
Grawity
13

Der ISP weiß nur, dass Sie die mit ihm verknüpfte IP-Adresse besucht haben www.website.com(und möglicherweise die URL, wenn Sie ihren DNS verwenden und sie speziell nach dem Datenverkehr suchen - wenn die DNS-Abfrage dies nicht durchläuft, wird dies nicht angezeigt).

(Trage mich ein bisschen hierher - ich komme auf die Antwort.)

Das HTTP-Protokoll wird so eingerichtet, dass eine Verbindung zu einem Port (normalerweise Port 80) hergestellt wird und der Webbrowser dem Server mitteilt, welche Seite er nachschlagen http://www.sitename.com/url/of/site.htmlmöchte. Eine einfache Aufforderung zum Nachschlagen hätte die folgenden Zeilen:

GET /url/of/site.html HTTP / 1.1
Host: www.sitename.com

HTTPS führt genau dasselbe aus, außer auf Port 443 - und es umschließt die gesamte TCP-Sitzung (dh alles, was Sie im oben angegebenen Bit sehen, plus die Antwort) in eine SSL-verschlüsselte Sitzung -, sodass der ISP keinen Verkehr sieht ( Möglicherweise können sie jedoch auf der Grundlage der Größe der Site und der DNS-Suche, die www.sitename.comin erster Linie in eine IP-Adresse aufgelöst werden soll, auf etwas schließen .

Wenn auf der Seite "Web-Bugs" eingebettet sind, kann dies den "Partnern" der Informationsverteiler Hinweise darauf geben, was Sie gerade anzeigen und wer Sie sind - und wenn Ihre Vertrauenskette unterbrochen ist, kann ein ISP eine Leistung erbringen ein Mann-in-der-Mitte-Angriff. Der Grund, warum Sie theoretisch über eine private End-to-End-Verschlüsselung verfügen können, liegt darin, dass CA-Zertifikate mit Ihrem Browser verteilt werden. Wenn ein ISP oder eine Regierung entweder ein CA-Zertifikat hinzufügen oder eine CA kompromittieren kann - und beides ist in der Vergangenheit geschehen - verlieren Sie Ihre Sicherheit. Ich glaube, dass die Great Firewall of China effektiv Man-In-The-Middle-Angriffe ausführt, um HTTPS-Daten zu lesen, aber es ist schon eine Weile her, seit ich dort war.

Sie können dies ganz einfach selbst testen, indem Sie sich eine Software besorgen, die den Verkehr, der in Ihren Computer eindringt und ihn verlässt, riecht. Ich glaube, dass eine kostenlose Software namens Wireshark dies für Sie erledigt.

Davidgo
quelle
0

Ich bin mir nicht sicher, ob dies ein Kommentar oder eine Antwort ist, aber ich möchte einen Nachtrag teilen.

Die Antworten zeigen , was sollte passieren. Die Frage ist , kann die URL read.The Antwort sein , dass ja, obwohl es relativ unwahrscheinlich ist.

Ein Angreifer (Dritter) kann Ihren https-Verkehr absolut abfangen und alle Ihre Anfragen unter bestimmten Umständen lesen. Um mehr zu erfahren, habe ich Sie eingeladen, MITM und SSLStrip zu lesen . Ich kann mehr darauf eingehen, wenn dies zum Verständnis notwendig ist.

Sie sollten nicht erwarten, dass Ihr ISP dies sowohl tut, weil es eine Verschwendung seiner Bandbreite ist, als auch, weil er mehr zu verlieren hat, wenn Sie es herausfinden und verklagen. Die genauere Antwort auf Ihre Frage. Kann dies getan werden? ist ja, obwohl es unwahrscheinlich ist, dass sich jemand genug darum kümmert, zu sehen, was Sie googeln oder wiki machen.

tophersmith116
quelle