Kunnen derden de volledige URL lezen tijdens het browsen via HTTPS?
Wanneer u veilig een website bezoekt via https: // worden de gegevens die tussen de server en uw browser zijn verzonden, gecodeerd maar hoe zit het met de URL's die u binnen de site bezoekt? Kan uw ISP of een externe waarnemer van derden zien waar u naar kijkt??
De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.
De vraag
Een anonieme SuperUser-lezer wil weten of zijn browsersessies volledig veilig zijn:
We weten allemaal dat HTTPS de verbinding tussen de computer en de server codeert, zodat deze niet door een derde partij kan worden bekeken. Kan de ISP of een derde echter de exacte link zien van de pagina die de gebruiker heeft geopend?
Ik bezoek bijvoorbeeld:
https://www.website.com/data/abc.html
Zal de ISP weten dat ik toegang heb gekregen tot * / data / abc.html of weet ik gewoon dat ik het IP van www.website.com heb bezocht?
Als ze het weten, waarom hebben Wikipedia en Google dan HTTPS wanneer iemand de internetlogs kan lezen en de exacte inhoud kan vinden die de gebruiker heeft bekeken?
Een interessante vraag die zeker gevolgen heeft voor de persoonlijke levenssfeer. Laten we het onderzoeken.
Het antwoord
Bijdrager van SuperUser Grawity biedt een zeer beknopt overzicht van hoe de volledige URL langs de route wordt verwerkt:
Van links naar rechts:
De schema
https:
wordt duidelijk geïnterpreteerd door de browser.De domeinnaam
www.website.com
is omgezet naar een IP-adres met behulp van DNS. Uw ISP we zullen het zien het DNS-verzoek voor dit domein en het antwoord.De pad
/data/abc.html
wordt verzonden in het HTTP-verzoek. Als u HTTPS gebruikt zal worden gecodeerd samen met de rest van het HTTP-verzoek en antwoord.De vraagstring
?Dit = dat
, indien aanwezig in de URL, wordt verzonden in het HTTP-verzoek - samen met het pad. Dus het is ook gecodeerd.De fragment
#er
, indien aanwezig, wordt nergens naartoe gestuurd - het wordt geïnterpreteerd door de browser (soms door JavaScript op de geretourneerde pagina).
Kortom, alles aan de rechterkant van de domeinnaam wordt gecodeerd door de HTTPS-sessie en blijft onzichtbaar voor uw ISP of iemand anders die in uw activiteiten gluren.
Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.