Как правило, имя сервера, с которым вы разговариваете, просочилось («stackoverflow.com»). Это, вероятно, было утечка через DNS, прежде чем SSL / TLS мог начать подключение, хотя.
Сертификат сервера просочился. Любой отправленный вами сертификат клиента (не общая конфигурация) может быть отправлен, а может и нет, в открытом виде. Активный злоумышленник (человек посередине) может просто попросить ваш браузер об этом и в любом случае получить его.
Часть пути URL ("/ questions / 2146863 / how-much-data-is-leak-from-ssl-connection") НЕ должна быть пропущена. Он передается в зашифрованном и безопасном виде (при условии, что клиент и сервер настроены правильно, и вы не нажали ни на какие ошибки сертификата).
Другой постер верен: возможны атаки с анализом трафика, которые могут дать некоторые сведения о статическом контенте. Если сайт очень большой и динамичный (скажем, stackoverflow.com), я подозреваю, что может быть довольно сложно получить из него много полезной информации. Однако, если есть только несколько файлов с отличительными размерами, загрузка может быть очевидной.
Данные формы POST НЕ должны быть пропущены. Хотя обычные предостережения применяются, если вы передаете объекты известных размеров.
Время атаки может раскрыть некоторую информацию. Например, злоумышленник может сделать акцент на различных частях приложения (например, на определенной таблице базы данных) или предварительно загрузить статические файлы с диска и посмотреть, как ваше соединение замедляется или ускоряется в ответ.
Это утечка информации, но, вероятно, это не имеет большого значения для большинства сайтов.