webentwicklung-frage-antwort-db.com.de

Sind HTTPS-Header verschlüsselt?

Wenn ich Daten über HTTPS sende, weiß ich, dass der Inhalt verschlüsselt ist. Ich höre jedoch gemischte Antworten darüber, ob die Header verschlüsselt sind oder wie viel des Headers verschlüsselt ist.

Wie viele HTTPS-Header sind verschlüsselt?

Einschließlich GET/POST-Anforderungs-URLs, Cookies usw.

538
Dan Herbert

Das ganze Los ist verschlüsselt - alle Überschriften. Aus diesem Grund funktioniert SSL auf vhosts nicht besonders gut - Sie benötigen eine dedizierte IP-Adresse, da der Host-Header verschlüsselt ist.

Der SNI-Standard (Server Name Identification) bedeutet, dass der Hostname möglicherweise nicht verschlüsselt wird, wenn Sie TLS verwenden. Unabhängig davon, ob Sie SNI verwenden oder nicht, werden die TCP und IP-Header niemals verschlüsselt. (Wenn dies der Fall wäre, könnten Ihre Pakete nicht weitergeleitet werden.)

504
Greg

Die Header sind vollständig verschlüsselt. Die einzigen Informationen, die über das Netzwerk übertragen werden, beziehen sich auf das SSL-Setup und den D/H-Schlüsselaustausch. Dieser Austausch wurde sorgfältig entwickelt, um den Lauschern keine nützlichen Informationen zu liefern. Sobald er stattgefunden hat, werden alle Daten verschlüsselt.

94
mdb

Neue Antwort auf alte Frage, sorry. Ich dachte, ich würde meine $ .02 hinzufügen

Das OP fragte, ob die Header verschlüsselt seien.

Sie sind: unterwegs.

Sie sind NICHT: wenn sie nicht unterwegs sind.

Die URL Ihres Browsers (und in einigen Fällen der Titel) kann daher den Abfrage-String (der normalerweise die sensibelsten Details enthält) und einige Details in der Kopfzeile anzeigen. Der Browser kennt einige Header-Informationen (Inhaltstyp, Unicode usw.). Browserverlauf, Kennwortverwaltung, Favoriten/Lesezeichen und zwischengespeicherte Seiten enthalten alle die Abfragezeichenfolge. Serverprotokolle auf der Remote-Seite können auch Querystring sowie einige Inhaltsdetails enthalten.

Außerdem ist die URL nicht immer sicher: Die Domäne, das Protokoll und der Port sind sichtbar. Andernfalls wissen Router nicht, wohin Ihre Anforderungen gesendet werden sollen.

Wenn Sie einen HTTP-Proxy haben, kennt der Proxy-Server die Adresse, normalerweise kennen sie nicht die vollständige Abfragefolge.

Wenn sich die Daten also bewegen, sind sie im Allgemeinen geschützt. Wenn es nicht unterwegs ist, ist es nicht verschlüsselt.

Nicht um zu entscheiden, sondern um Daten am Ende zu entschlüsseln. Sie können nach Belieben analysiert, gelesen, gespeichert, weitergeleitet oder verworfen werden. Malware an beiden Enden kann Snapshots von Daten erstellen, die in das SSL-Protokoll eingehen (oder dieses verlassen), z. B. (fehlerhaftes) Javascript auf einer Seite in HTTPS, wodurch HTTP- (oder HTTPS-) Aufrufe von Protokollierungswebsites (seit dem Zugriff auf die lokale Festplatte) getätigt werden können ist oft eingeschränkt und nicht sinnvoll).

Cookies werden auch nicht nach dem HTTPS-Protokoll verschlüsselt. Entwickler, die vertrauliche Daten in Cookies (oder anderswo) speichern möchten, müssen ihren eigenen Verschlüsselungsmechanismus verwenden.

In Bezug auf den Cache werden in den meisten modernen Browsern keine HTTPS-Seiten zwischengespeichert. Diese Tatsache ist jedoch nicht durch das HTTPS-Protokoll definiert. Es hängt ausschließlich vom Entwickler eines Browsers ab, ob über HTTPS empfangene Seiten zwischengespeichert werden.

Wenn Sie sich also Gedanken über das Schnüffeln von Paketen machen, sind Sie wahrscheinlich in Ordnung. Wenn Sie sich jedoch Sorgen um Malware oder jemanden machen, der in Ihrem Verlauf, Ihren Lesezeichen, Cookies oder Cache stöbert, sind Sie noch nicht aus dem Wasser.

53
Andrew Jennings

In der HTTP-Version 1.1 wurde die spezielle HTTP-Methode CONNECT hinzugefügt, mit der der SSL-Tunnel erstellt werden soll, einschließlich des erforderlichen Protokoll-Handshakes und der Einrichtung der Verschlüsselung.
Die regulären Anfragen danach werden alle in den SSL-Tunnel eingepackt, einschließlich Header und Body.

52
AviD

Bei SSL befindet sich die Verschlüsselung auf Transportebene, sie findet also statt, bevor eine Anfrage gesendet wird.

Also ist alles in der Anfrage verschlüsselt.

44
blowdart

HTTPS (HTTP über SSL) sendet alle HTTP-Inhalte über einen SSL-Tunnel an HTTP-Inhalte und die Header werden ebenfalls verschlüsselt.

39
CMS

Ja, Header werden verschlüsselt. Es steht geschrieben hier .

Alles in der HTTPS-Nachricht ist verschlüsselt, einschließlich der Header und der Anforderung/Antwort-Last.

20
keypress

die URL ist auch verschlüsselt, Sie haben wirklich nur die IP, den Port und bei SNI den Hostnamen, die unverschlüsselt sind.

7
xxiao