我正在使用谷歌SSL搜索(https:www.google.com),期望我的搜索將是私人的。然而,我搜索'多士爐'產生這個查詢: https://encrypted.google.com/search?hl=en&source=hp&q=toasters&aq=f如何防止SSL URL泄露信息?
正如你所看到的,我的僱主仍然可以記錄這一點,看看搜索是什麼。我如何確保當有人使用SSL(使用自定義谷歌搜索)在我的網站上進行搜索時,他們的搜索字詞不可見。
該URL通過SSL發送。當然,用戶可以在他們自己的瀏覽器中看到URL,但它在轉換網絡時不可見。除非他們是SSL連接的另一端,否則您的僱主不能登錄它。如果您的僱主創建了CA證書並將其安裝到您的瀏覽器中,他們可以使用代理欺騙Google主機名稱,否則流量是安全的。
HTTPS保護整個整個包括URL在內的HTTP交換,因此攔截網絡流量的人唯一能夠確定的是瀏覽器與您的網站(或Google在這種情況下)之間進行了通信。即使沒有內臟,這些信息也是有用的。
除非您對製作查詢的系統有完全的管理控制權限,否則您應該假設可以攔截或記錄其上發生的任何事情。瀏覽器通常將歷史和緩存頁存儲在本地磁盤上的文件中,管理員可以讀取它們。即使在「私人」模式下,您也無法驗證瀏覽器本身是否沒有用代碼重新編譯來記錄訪問過的網站。
增加到@erickson說,讀this。 SSL將保護關聯方之間的數據。如果您需要隱藏該老闆的鏈接,請禁用瀏覽器緩存訪問的網站,即禁用或刪除歷史數據。
想必你的僱主提供了一個PC,其上的軟件,局域網連接到自己的企業網,互聯網代理服務器和企業防火牆,也許DNS服務器,等等等等
所以你接觸到交通嗅探和追蹤在許多不同的層面。即使您通過SSL TLS瀏覽網址,也必須假定您的http會話內容可以被記錄。你是否總是檢查瀏覽器中的證書是來自谷歌而不是你的僱主的代理?你知道你的瀏覽器和網卡等之間坐在什麼軟件
但是,如果你有在客戶端完全控制,那麼你可以肯定的是沒有一個外部與谷歌的HTTPS的談話會能夠看到您要求的網址。
谷歌仍然知道你在做什麼,但是這是你的搜索引擎,你的良心之間的私事;)
正如@erickson所說,他們需要替換證書(或者完全控制桌面來記錄擊鍵或其他事情,這是可能的),否則,如果只是控制代理,他們將不會看到任何連接的內容(Web服務器的主機和端口除外)。 – Bruno 2010-09-15 10:02:37
在工作中搜索「烤麪包機」,是嗎? – 2010-09-08 14:19:02