Wir alle wissen, dass HTTPS die Verbindung zwischen dem Computer und dem Server verschlüsselt, sodass sie nicht von Dritten eingesehen werden kann. Kann der ISP oder ein Dritter jedoch den genauen Link der Seite sehen, auf die der Benutzer zugegriffen hat?
Zum Beispiel besuche ich
https://www.website.com/data/abc.html
Weiß der ISP, dass ich auf * / data / abc.html zugegriffen habe oder nur, dass ich die IP von www.website.com besucht habe?
Wenn sie wissen, warum haben Wikipedia und Google dann HTTPS, wenn jemand einfach die Internetprotokolle lesen und den genauen Inhalt herausfinden kann, den der Benutzer angesehen hat?
Antworten:
Von links nach rechts:
Das Schema
https:
wird offensichtlich vom Browser interpretiert.Der Domänenname
www.website.com
wird mithilfe von DNS in eine IP-Adresse aufgelöst. Ihr ISP sieht die DNS-Anfrage für diese Domain und die Antwort.Der Pfad
/data/abc.html
wird in der HTTP-Anforderung gesendet. Wenn Sie HTTPS verwenden, wird es zusammen mit dem Rest der HTTP-Anforderung und -Antwort verschlüsselt .Die Abfragezeichenfolge
?this=that
, falls in der URL vorhanden, wird in der HTTP-Anforderung zusammen mit dem Pfad gesendet. Es ist also auch verschlüsselt.Das Fragment wird
#there
, falls vorhanden, nirgendwo gesendet - es wird vom Browser interpretiert (manchmal von JavaScript auf der zurückgegebenen Seite).quelle
Der ISP weiß nur, dass Sie die mit ihm verknüpfte IP-Adresse besucht haben
www.website.com
(und möglicherweise die URL, wenn Sie ihren DNS verwenden und sie speziell nach dem Datenverkehr suchen - wenn die DNS-Abfrage dies nicht durchläuft, wird dies nicht angezeigt).(Trage mich ein bisschen hierher - ich komme auf die Antwort.)
Das HTTP-Protokoll wird so eingerichtet, dass eine Verbindung zu einem Port (normalerweise Port 80) hergestellt wird und der Webbrowser dem Server mitteilt, welche Seite er nachschlagen
http://www.sitename.com/url/of/site.html
möchte. Eine einfache Aufforderung zum Nachschlagen hätte die folgenden Zeilen:HTTPS führt genau dasselbe aus, außer auf Port 443 - und es umschließt die gesamte TCP-Sitzung (dh alles, was Sie im oben angegebenen Bit sehen, plus die Antwort) in eine SSL-verschlüsselte Sitzung -, sodass der ISP keinen Verkehr sieht ( Möglicherweise können sie jedoch auf der Grundlage der Größe der Site und der DNS-Suche, die
www.sitename.com
in erster Linie in eine IP-Adresse aufgelöst werden soll, auf etwas schließen .Wenn auf der Seite "Web-Bugs" eingebettet sind, kann dies den "Partnern" der Informationsverteiler Hinweise darauf geben, was Sie gerade anzeigen und wer Sie sind - und wenn Ihre Vertrauenskette unterbrochen ist, kann ein ISP eine Leistung erbringen ein Mann-in-der-Mitte-Angriff. Der Grund, warum Sie theoretisch über eine private End-to-End-Verschlüsselung verfügen können, liegt darin, dass CA-Zertifikate mit Ihrem Browser verteilt werden. Wenn ein ISP oder eine Regierung entweder ein CA-Zertifikat hinzufügen oder eine CA kompromittieren kann - und beides ist in der Vergangenheit geschehen - verlieren Sie Ihre Sicherheit. Ich glaube, dass die Great Firewall of China effektiv Man-In-The-Middle-Angriffe ausführt, um HTTPS-Daten zu lesen, aber es ist schon eine Weile her, seit ich dort war.
Sie können dies ganz einfach selbst testen, indem Sie sich eine Software besorgen, die den Verkehr, der in Ihren Computer eindringt und ihn verlässt, riecht. Ich glaube, dass eine kostenlose Software namens Wireshark dies für Sie erledigt.
quelle
Ich bin mir nicht sicher, ob dies ein Kommentar oder eine Antwort ist, aber ich möchte einen Nachtrag teilen.
Die Antworten zeigen , was sollte passieren. Die Frage ist , kann die URL read.The Antwort sein , dass ja, obwohl es relativ unwahrscheinlich ist.
Ein Angreifer (Dritter) kann Ihren https-Verkehr absolut abfangen und alle Ihre Anfragen unter bestimmten Umständen lesen. Um mehr zu erfahren, habe ich Sie eingeladen, MITM und SSLStrip zu lesen . Ich kann mehr darauf eingehen, wenn dies zum Verständnis notwendig ist.
Sie sollten nicht erwarten, dass Ihr ISP dies sowohl tut, weil es eine Verschwendung seiner Bandbreite ist, als auch, weil er mehr zu verlieren hat, wenn Sie es herausfinden und verklagen. Die genauere Antwort auf Ihre Frage. Kann dies getan werden? ist ja, obwohl es unwahrscheinlich ist, dass sich jemand genug darum kümmert, zu sehen, was Sie googeln oder wiki machen.
quelle