¿Puede un atacante rastrear datos en una URL a través de HTTPS?

19

¿Se pueden considerar seguros los datos incluidos en una URL si la conexión se realiza a través de HTTPS? Por ejemplo, si un usuario hace clic en un enlace en un correo electrónico que apunta a https://mysite.com?mysecretstring=1234, ¿sería posible que un atacante tome "mysecretstring" de la URL?

security https url James Cadd
fuente

Respuestas:

27

Toda la solicitud HTTP (y la respuesta) está encriptada, incluida la URL.

Pero sí, hay una forma en que un atacante podría obtener la URL completa: a través del encabezado Referer. Si hay algún archivo externo (Javscript, CSS, etc.) que no esté sobre HTTPS, la URL completa podría ser rastreada en el encabezado Referer. Lo mismo si el usuario hace clic en un enlace en la página que conduce a una página HTTP (sin SSL).

Además, las solicitudes de DNS no están encriptadas, por lo que un atacante podría saber que el usuario irá a mysite.com.

Julien
fuente
Cuando dice "la URL completa", ¿eso incluye los parámetros (por ejemplo, mysecretstring = 1234)?
sampablokuper el
En el encabezado Referer, si los parámetros están en la URL, se puede ver
chmeee
1
entonces, no cargue imágenes externas, css, js. use / almacene la cadena secreta y redirija internamente para deshacerse de la cadena secreta. después de eso puede usar URL externas.
Neil McGuigan
14

No, pueden ver la conexión, es decir, mysite.com pero no el? Mysecretstring = 1234 el https es servidor a servidor

Chris
fuente
66
De hecho, ni siquiera pueden ver a qué nombre de dominio se está conectando, sino a qué dirección IP. Dado que los certificados SSL solo funcionan razonablemente en una relación 1: 1 de nombre de dominio a dirección IP, lo más probable es que esto sea irrelevante. Además, si el atacante puede detectar su tráfico DNS, esto podría revelarse. Los parámetros GET y POST son tan seguros como el tráfico HTTPS: si usted es el cliente y el certificado del servidor es válido y no está comprometido, los datos están protegidos contra el espionaje de terceros.
Paul
0

Tendrían que tener la clave de cifrado. Teóricamente esto no es posible, pero cualquier buen ataque sí. Este es todo el propósito de SSL para cifrar todos los datos enviados hacia y desde el servidor para evitar que pueda oler.

Chris
fuente
0

Mantenga seguros sus weblogs o ni siquiera los escriba. Si obtiene un exploit remoto donde se pueden leer los registros, cualquier información de URL será visible en los registros.


fuente
Los datos de publicación no están en los registros.
Ryaner
todo esto depende mucho de la configuración =)
spacediver
-1

Solo si pueden detectar la autenticación https mediante algún tipo de suplantación de identidad

Jimsmithkka
fuente
¿Te refieres a un ataque de hombre en el medio? Esto es más que olfatear, el atacante debe suplantar al servidor.
Julien
así sus MIM para el apretón de manos, pero después de que sólo está oliendo, la herramienta específica es hámster y hurón que vi demostré
Jimsmithkka