1
yikuo 168 天前 via Android
HTTPS 是加密的,如果没有遭遇中间人攻击,最多只能看到访问的域名,看不到 URL ,也与客户端无关。
|
2
jim9606 168 天前 via Android
TLS 会将所有 HTTP 消息加密,只有域名 service.website.net 会暴露,这完全是因为 TLS 主流应用需要通过 SNI 扩展明文告知域名以供服务器选择证书。
如果客户端有一些状态缓存,在只有被动监听攻击的情况下可以连域名都不暴露。 |
3
forvvvv123 168 天前 3
看不到;
如果考虑保密性,从实践来说,放到 Body 里面( POST 方式)比 URL 里面( GET 方式)会更好,因为除了 tls 保障通信过程中的安全,URL 相比请求 Body 在各个节点更容易被记录和存储(比如默认的 nginx 日志),从而更容易因为其他因素被泄露; |
4
blackeeper 168 天前
问题 1 ,是的,建立 TLS 加密通道后,才开始交换内容信息
问题 2 ,不会,过程是一样的 问题 3 ,中间人看到的可能性为 0 。除非你的证书秘钥泄露给别人,且这个别人是 [中间人] ,能管控你网络的人 |
5
lzy250 168 天前 via iPhone
DPI 也能解析到。
|
6
0o0O0o0O0o 168 天前
1. 是
2. 可能会有区别,但不会破坏 1 ,例如 RFC 8470 3. 前提一定是客户端是安全的,服务器是安全的,证书是安全的。那么考虑的只是会不会被例如 POODLE attack 影响,那只要工具实现是安全的,服务端正确配置了,就不需要担心。 |
7
yuzo555 168 天前
我有一个疑问,Win 下一个程序获取管理员权限后,添加的根证书,可以用来劫持监听浏览器的 HTTPS 流量吗?
我看那些网游加速器随随便便就会添加一个根证书到系统里面。 |
9
0o0O0o0O0o 168 天前
|
11
GeekGao 168 天前
虽然理论上存在一些高级的攻击方法可能会威胁到 HTTPS 的安全性,但对于一般的流量观察者来说,由于 HTTPS 的加密特性,他们无法直接看到 URL 中的账号、密码或其他敏感信息,只能看到域名。
如果遇到中间人攻击,那么都透明了,无所谓敏感信息放在 URL or Body 。 |
12
Trim21 168 天前 via Android
在证书安全,加密算法没漏洞的情况下,中间人看不到 url 域名以外的东西。
|
13
elboble 167 天前
get 不好看,就用 post 呗,至少 url 上看不到。
不过参数在 https 下都看不到的, 还是那句话,也不是不能用 |
14
dode 167 天前
提供 get 兼容纯粹是为了不懂的人设计的简化吧,你可以用 post
|
15
misaka19000 167 天前
HTTPS 除了域名之外什么都看不到
|
16
salmon5 167 天前
@forvvvv123 #3 还有一种风险,而且这个风险更大:
搜索引擎比如 bing 等,会把自家的浏览器( edge )用户的访问记录,给自家的爬虫爬,然后全球的人都可能搜索到。 |
17
salmon5 167 天前
然后
https://example.com/login?user_name=abc&password=xyz 就会出现在 bing 的搜索结果中,这块 google 就处理的很专业,收录的时候会把 args 去掉。 |
19
feiyan35488 167 天前
@yuzo555 有根证书后,还需要配合中间人劫持流量才行,类似使用 charles 抓包, 一般只会存在个别场合里或 gfw 封控的域名下
|
20
julyclyde 165 天前
@forvvvv123 如果你真的读过 HTTP 标准,就不会觉得这种情况 GET 和 POST 有什么区别
HTTP 请求的时候,用户名密码并不在 URL 里而是在 header 里 |
21
forvvvv123 165 天前
@julyclyde 所以不推荐放 get 里面啊
|
22
julyclyde 165 天前
|
23
forvvvv123 165 天前
@julyclyde 无非就是放到 urlpath 、get 参数、post 参数、header 这几个地方嘛,放 header 、post 参数会比放 urlpath 、get 参数好,因为 url 和 get 参数更容易被各个地方记录。 不是这个意思吗?
|
24
julyclyde 165 天前
@forvvvv123 对啊,但现实是没在你认为容易记录的位置上啊
|
25
forvvvv123 165 天前
@julyclyde 你的意思是现实中的实现其实都是在 header 和 post 上?
|
26
julyclyde 165 天前
@forvvvv123 我上面都说过了啊“如果你真的读过标准”
|
27
forvvvv123 165 天前
@julyclyde 哦哦哦哦哦,是这个意思
|