Домашня » як » Чи можуть сторонні особи прочитати повну URL-адресу при перегляді через HTTPS?

    Чи можуть сторонні особи прочитати повну URL-адресу при перегляді через HTTPS?


    Коли ви надійно відвідуєте веб-сайт за допомогою https: //, дані, надіслані між сервером і веб-переглядачем, зашифровані, але як щодо URL-адрес, які ви відвідуєте? Чи зможе ваш провайдер чи інший спостерігач від третьої сторони побачити, що ви дивитеся?

    Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

    Питання

    Читач анонімного суперкористувача хоче знати, чи ці сеанси перегляду повністю захищені:

    Ми всі знаємо, що HTTPS шифрує з'єднання між комп'ютером і сервером, щоб його не могли переглядати треті сторони. Проте, чи може провайдер або третя сторона бачити точне посилання сторінки, до якої користувач звернувся?

    Наприклад, я відвідую:

    https://www.website.com/data/abc.html

    Чи знайдуть провайдери, що я звернувся до * / data / abc.html або просто знаю, що відвідав IP-адресу www.website.com?

    Якщо вони знають, то чому Вікіпедія і Google мають HTTPS, коли хтось може просто читати журнали в Інтернеті і дізнатися точний вміст, який переглянуто користувачем?

    Цікаве питання, яке, безумовно, має наслідки для конфіденційності особи. Давайте розберемося.

    Відповідь

    Співробітник SuperUser Grawity пропонує дуже стислий огляд того, як повна обробка URL-адреси обробляється:

    Зліва направо:

    The схема https: це, очевидно, інтерпретується браузером.

    The Доменне ім'я www.website.com вирішується на IP-адресу за допомогою DNS. Ваш провайдер побачимо запит DNS для цього домену та відповідь.

    The шлях /data/abc.html надсилається в HTTP-запиті. Якщо ви використовуєте HTTPS, це буде зашифровано разом з рештою HTTP-запиту та відповіді.

    The рядок запиту ?це = це, якщо він присутній у URL-адресі, надсилається в HTTP-запиті - разом з контуром. Так що це також зашифровано.

    The фрагмент #there, якщо він присутній, нікуди не надсилається - це інтерпретується браузером (іноді за допомогою JavaScript на повернутій сторінці).

    Коротше кажучи, все праворуч від імені домену зашифровано сеансом HTTPS і залишається невидимим для вашого провайдера або будь-якого іншого, хто заглядає в вашу діяльність.


    Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.