Зашифрованы ли URL-адреса HTTPS?

Question

Все ли URL-адреса шифруются при использовании шифрования TLS / SSL (HTTPS)? Я хотел бы знать, потому что я хочу, чтобы все данные URL были скрыты при использовании TLS / SSL (HTTPS).

Если TLS / SSL обеспечивает полное шифрование URL-адреса, мне не нужно беспокоиться о сокрытии конфиденциальной информации от URL-адресов.

Answer 1

Сейчас 2019 год, и TLS v1.3 был выпущен. Согласно cloudflare, SNI может быть зашифрован благодаря TLS v1.3. Итак, я сказал себе здорово! давайте посмотрим, как это выглядит в TCP-пакетах cloudflare.com Итак, я поймал пакет рукопожатия "hello client" из ответа сервера cloudflare. Я все еще могу прочитать имя сервера в виде обычного текста.

Итак, остерегайтесь того, что вы можете прочитать, потому что это все еще не анонимное соединение, поскольку посредник может видеть имя целевого сервера.

Похоже, что для шифрования SNI требуются дополнительные реализации для работы с TLSv1.3

В следующей статье описывается шифрование SNI, предоставляемого Cloudflare, как часть TLSv1.3. Однако все URL-адреса HTTP от cloudlfare.com можно прочитать в виде простого текста в пакете TCP в TLS v1.3

[https://blog.cloudflare.com/encrypted-sni/][3]

Answer 2

Хотя здесь уже есть несколько хороших ответов, большинство из них сосредоточены на навигации в браузере. Я пишу это в 2018 году, и, возможно, кто-то хочет знать о безопасности мобильных приложений.

Для мобильных приложений , если вы контролируете оба конца приложения (сервер и приложение), если вы используете HTTPS , вы в безопасности . iOS или Android проверит сертификат и уменьшит возможные атаки MiM (это было бы единственным слабым местом во всем этом). Через HTTPS-соединения вы можете отправлять конфиденциальные данные, которые будут зашифрованы во время транспортировки . Только ваше приложение и сервер будут знать любые параметры, отправленные через https.

Единственное «возможно» здесь может быть, если клиент или сервер заражены вредоносным программным обеспечением, которое может просматривать данные перед их упаковкой в ​​https. Но если кто-то заражен этим программным обеспечением, у него будет доступ к данным, независимо от того, что вы используете для их транспортировки.

Answer 3

Кроме того, если вы создаете ReSTful API, утечки в браузере и проблемы с реферером http в основном сводятся к минимуму, поскольку клиент может не являться браузером и у вас может не быть людей, нажимающих ссылки.

В этом случае я рекомендую oAuth2 войти в систему, чтобы получить токен на предъявителя. В этом случае единственными конфиденциальными данными будут исходные учетные данные ... которые, вероятно, должны быть в любом случае после отправки запроса