Les en-têtes HTTPS sont-ils cryptés?

lors de l'envoi de données via HTTPS, je sais que le contenu est crypté, cependant j'entends des réponses contradictoires sur le fait que les en-têtes sont cryptés, ou quelle proportion de l'en-tête est cryptée.

combien de en-têtes HTTPS sont cryptés?

y compris les URLs des requêtes GET/POST, Les Cookies, etc.

447
demandé sur Prasad 2008-10-09 19:00:35
la source

8 ответов

le lot entier est crypté - tous les en-têtes. C'est pourquoi SSL sur vhosts ne fonctionne pas très bien - vous avez besoin d'une adresse IP dédiée parce que l'en-tête Host est crypté.

la norme D'Identification du nom du serveur (SNI) signifie que le nom d'hôte peut ne pas être crypté si vous utilisez TLS. De plus, que vous utilisiez SNI ou non, les en-têtes TCP et IP ne sont jamais cryptés. (S'ils l'étaient, vos paquets ne seraient pas routable.)

424
répondu Greg 2016-11-19 03:25:54
la source

les en-têtes sont entièrement cryptés. Les seules informations qui passent sur le réseau 'dans le clear' sont liées à la configuration SSL et à l'échange de clés D/H. Cet échange est soigneusement conçu pour ne pas fournir d'informations utiles aux personnes qui écoutent attentivement, et une fois qu'il a eu lieu, toutes les données sont cryptées.

87
répondu mdb 2008-10-09 19:05:26
la source

HTTP version 1.1 a ajouté une méthode HTTP spéciale, CONNECT - destinée à créer le tunnel SSL, y compris la poignée de main de protocole nécessaire et la configuration cryptographique.

Les demandes régulières sont ensuite toutes envoyées enveloppées dans le tunnel SSL, les en-têtes et le corps inclus.

48
répondu AviD 2008-10-10 02:11:41
la source

Nouvelle réponse à la vieille question, désolé. Je pensais que je voudrais ajouter mon $.02

l'OP a demandé si les en-têtes étaient cryptés.

Ils sont en transit.

ils ne le sont pas: lorsqu'ils ne sont pas en transit.

ainsi, L'URL de votre navigateur (et le titre, dans certains cas) peut afficher le querystring (qui contient habituellement les détails les plus sensibles) et certains détails dans l'en-tête; le navigateur connaît certaines informations d'en-tête (contenu type, unicode, etc); et l'historique du navigateur, la gestion de mot de passe, favoris/marque-pages, et les pages mises en cache seront tous contenir le querystring. Les journaux du serveur à l'extrémité distante peuvent aussi contenir des querystring ainsi que des détails sur le contenu.

aussi, L'URL n'est pas toujours sécurisée: le domaine, le protocole et le port sont visibles - sinon les routeurs ne savent pas où envoyer vos requêtes.

aussi, si vous avez un mandataire HTTP, le serveur mandataire connaît l'adresse, habituellement ils ne savent pas la totalité de la chaîne de recherche.

donc si les données bougent, elles sont généralement protégées. Si ce n'est pas en transit, il n'est pas chiffrée.

pas pour nit pick, mais les données à la fin est également déchiffré, et peut être analysé, lu, enregistré, transmis, ou jeté à volonté. Et, malware à l'une ou l'autre extrémité peut prendre des instantanés de données entrant (ou sortant) le protocole SSL - tels que (mauvais) Javascript à l'intérieur d'une page à L'intérieur de HTTPS qui peut subrepticement faire http (ou https) appelle les sites de journalisation (car l'accès au disque dur local est souvent restreint et inutile).

en outre, les cookies ne sont pas non plus cryptés en vertu du protocole HTTPS. Les développeurs qui souhaitent stocker des données sensibles dans des cookies (ou n'importe où ailleurs d'ailleurs) doivent utiliser leur propre mécanisme de cryptage.

en ce qui concerne le cache, la plupart des navigateurs modernes ne cache pas les pages HTTPS, mais ce fait n'est pas défini par le protocole HTTPS, il dépend entièrement de le développeur d'un navigateur pour être sûr de ne pas mettre en cache les pages reçues par HTTPS.

donc si vous êtes inquiet à propos de l'inhalation de paquets, vous êtes probablement d'accord. Mais si vous êtes inquiet au sujet des logiciels malveillants ou quelqu'un fouillant à travers votre histoire, marque-pages, cookies, ou cache, vous n'êtes pas encore hors de l'eau.

45
répondu Wigwam 2018-01-19 16:13:00
la source

avec SSL le cryptage est au niveau du transport, donc il a lieu avant qu'une demande soit envoyée.

donc tout dans la requête est crypté.

40
répondu blowdart 2008-10-09 19:05:10
la source

HTTPS (HTTP over SSL) envoie tout le contenu HTTP sur un tunel SSL, donc le contenu HTTP et les en-têtes sont eux aussi cryptés.

33
répondu CMS 2008-10-09 19:10:16
la source

Oui, les en-têtes sont cryptés. C'est écrit ici .

tout dans le message HTTPS est crypté, y compris les en-têtes, et la charge request/response.

15
répondu keypress 2016-02-18 16:23:24
la source

L'URL est aussi cryptée, vous n'avez vraiment que L'IP, le Port et si SNI, le nom d'hôte qui sont non crypté.

6
répondu xxiao 2015-11-21 08:25:06
la source

Autres questions sur encryption https security post get