回答
整個請求被加密,包括URL,甚至命令(GET
)。代理服務器等干預方只能收集目標地址和端口。
但是請注意,一個TLS握手的客戶端Hello報文可以通過SNI extension(感謝@hafichuk),用於所有現代主流瀏覽器中的廣告明文完全合格的域名,雖然有些只能在新的操作系統。
編輯:(由於這只是讓我一個「很好的回答」徽章,我想我應該回答的問題全...)
整個響應也被加密;代理不能攔截任何部分。
谷歌提供搜索和其他內容通過https,因爲不是所有的它是公開的,你可能也想隱藏某些從MITM公衆的內容。無論如何,最好讓Google answer for themselves。
連接在發送請求之前被加密。所以是的,請求也被加密,包括查詢字符串。
一切都是加密的,但你要記住,你的查詢會留在服務器的日誌,並會以各種日誌分析等等(這通常是不與POST請求的情況下)訪問。
哪個服務器?誰可以訪問? – 2010-11-10 11:46:47
@Jader至少對那些服務器的管理員和黑客。通過POST請求,信息不會保留在日誌中,因此除非明確記錄日誌,否則日誌沒有問題。 GET查詢停留在日誌中,如果日誌發生任何變化(或者管理員決定將這些日誌用於任何不良活動),那麼您就遇到了麻煩。 – 2010-11-10 18:10:42
的SSL發生在頭解析之前,這意味着:
Client creates Request
Request gets encrypted
Encrypted request gets transmitted to the Server
Server decrypts the Request
Request gets parsed
的請求看起來像這樣(不記得確切的語法,但應儘量接近):
GET /search?q=qwerty HTTP/1.1
Host: www.google.de
這也是爲什麼具有相同的IP多臺主機不同的SSL證書是有問題的,所請求的主機名不知道,直到解密。
'HTTP/1.1'出現在第一行的末尾。 – 2010-11-10 10:16:09
@Marcelos Cantos:謝謝,這已經有一段時間了,因爲我不得不手動編寫HTTP請求。 – dbemerlin 2010-11-10 14:36:39
是的,它是安全的。 SSL加密一切。從POST請求
摘錄:從GET請求
POST /foo HTTP/1.1
... some other headers
摘錄:
GET /foo?a=b HTTP/1.1
... some other headers
在無論是套接字上發出這兩種情況下是加密的。在GET請求期間客戶端在他的瀏覽器中看到參數的事實並不意味着中間的人會看到相同的事實。
HTTPS在傳輸任何HTTP數據之前建立底層SSL連接。這可確保所有URL數據(除用於建立連接的主機名稱 以外)在此加密連接內單獨承載 ,並且以與任何HTTPS相同的方式保護而不受 中間人攻擊數據是。
以上是從谷歌的答案很全面的答案設在這裏的一部分:
http://answers.google.com/answers/threadview/id/758002.html#answer
使用HTTPS時,GET請求是加密的 - 事實上,這就是爲什麼安全網站需要有一個唯一的IP地址 - 無法從請求中獲取預期的主機名(或虛擬目錄),直到它被解密。
JFYI:有一個TLS擴展名,它允許客戶端指定主機名,因此服務器可以選擇相應的證書。 – 2011-01-20 19:22:48
@Eugene:謝謝 - 我知道TLS的擴展,但只有最寬鬆的意識 - 我對細節一無所知,或者在實際使用中可能(或不可能)有多大。 – 2011-01-20 19:38:26
URL本身是加密的,所以查詢字符串中的參數不會在整個導線中傳播。
但是,請記住,包含GET數據的URL通常由Web服務器記錄,而POST數據很少。所以如果你打算做一些像/login/?username=john&password=doe
那樣的事情,那麼不要;改用POST。
+1謝謝。這是在我自己的物理服務器上,所以我不太擔心日誌,但這對於任何人在共享主機環境中考慮這一點都是一個很好的考慮。考慮到這一點也很重要,因爲我將以這種方式轉移信用卡號碼,並且肯定不會記錄它們:) – orokusaki 2011-01-21 16:20:11
它並不重要,它是您自己的盒子。您不希望任何擁有它的人(即惡意黑客)以純文本的形式查看這些密碼。或者那些CC號碼(假設你沒有在其他地方儲存)。 – Thomas 2011-01-21 16:24:54
嗨,儘管使用https和方法POST可以在瀏覽器中看到表單數據,如username = john&password = doe。 在這種情況下我們可以使用加密,還是存在更好的解決方案? 謝謝 – 2014-12-30 10:42:57
安全地發送主機名後的URL部分。
例如, https://somewhere.com/index.php?NAME=FIELD
/index.php?NAME=FIELD
的一部分進行加密。 somewhere.com
不是。
我剛剛通過HTTPS連接到一個網站,並傳遞了一堆GET參數。然後我用wireshark來嗅探網絡。使用HTTP,URL將以未加密方式發送,這意味着我可以輕鬆查看URL中的所有GET參數。使用HTTPS,一切都被加密,我什至不能看到哪個數據包是GET命令,更不用說它的內容了!
- 1. HTTPS是否使POST數據加密?
- 2. HTTPS加密和GET參數
- 3. HTTPS標頭是否已加密?
- 4. https是否加密整個URL?
- 5. https和幀。連接是否加密?
- 6. 是否可以使用Javascript來加密/解密SQLite數據庫?
- 7. 無需爲https加密數據?
- 8. https連接中的參數是否加密?
- 9. 是否可以使用橢圓曲線加密來加密數據?
- 10. 發送給用戶的出站數據是否也在SSL連接中加密?
- 11. SSL層中的數據是否被加密(128位加密)?
- 12. 是否可以在指定的日期之前加密數據?
- 13. 是否可以創建加密Sqlite數據庫?
- 14. https和加密
- 15. 是否可以解密使用「IonCube」加密加密的文件?
- 16. IndexedDB是否已加密?私人數據是否正確?
- 17. 通過HTTPS發送密碼:GET與POST
- 18. SSL也可以加密cookie嗎?
- 19. 加密HTTPS標頭
- 20. https內容是否可以緩存在CDN數據中心?
- 21. 是否可以通過HTTPS複製相同的POST數據?
- 22. OAuth:我是否需要通過HTTPS對HMAC-SHA1進行加密
- 23. HTTPS是否應該加密網絡流量?
- 24. NodeJS https是否執行流量的對稱加密
- 25. 是否可以在WP7中使用加密的Web服務,而不依賴於HTTPS進行加密?
- 26. 爲什麼不同的密鑰也可以解密JCE加密
- 27. 跨機器加密/解密是否否
- 28. 加密的加密數據
- 29. 春豆與數據庫屬性也是可以加載的
- 30. 當連接到未加密的後端時,mod_proxy_wstunnel是否會加密數據?
代理無法進入HTTPS流。 – 2010-11-10 10:04:20
@Eugene:我說過了嗎? – 2010-11-10 10:13:33
對不起,我一定誤解了這句話。 – 2010-11-10 10:25:29