Security 如果您使用HTTPS,您的URL参数将不会被嗅探到吗?
假设我设置了一个简单的PHPWeb服务器,其中有一个可以通过HTTPS访问的页面。URL有简单的参数,如Security 如果您使用HTTPS,您的URL参数将不会被嗅探到吗?,security,apache,url,https,Security,Apache,Url,Https,假设我设置了一个简单的PHPWeb服务器,其中有一个可以通过HTTPS访问的页面。URL有简单的参数,如https://www.example.com/test?abc=123 在这种情况下,这里的参数对嗅探数据包的人来说是安全的,这是真的吗?如果服务器不使用任何SSL证书,这会是真的吗?取决于您所说的“安全”是什么意思 SSL加密整个HTTP请求/响应,因此GET部分中的URL将被加密。这并不能阻止MITM攻击和SSL会话本身完整性的破坏。如果使用非权威证书,这会使潜在的攻击向量更简单 这是
https://www.example.com/test?abc=123
在这种情况下,这里的参数对嗅探数据包的人来说是安全的,这是真的吗?如果服务器不使用任何SSL证书,这会是真的吗?取决于您所说的“安全”是什么意思 SSL加密整个HTTP请求/响应,因此GET部分中的URL将被加密。这并不能阻止MITM攻击和SSL会话本身完整性的破坏。如果使用非权威证书,这会使潜在的攻击向量更简单 这是一个类似的问题。 HTTPS建立了一个底层SSL 在创建任何HTTP数据之前进行连接 转移。这确保了所有URL 数据(主机名除外, 用于建立 连接)仅在 这是一个加密的连接,并且 防止中间有人 以与任何HTTPS相同的方式进行攻击 数据是 一个数据库中的所有HTTP级别事务 HTTPS连接在内部进行 已建立的SSL会话,并且没有 查询数据在 已建立安全连接 从外部看,唯一的数据是 主机名对世界可见 和您要连接的端口。 其他的一切都只是一股流 使用 私钥仅在您之间共享 和服务器 在示例中,您提供了 浏览器将执行以下操作:
希望对你有所帮助 url:s将存储在服务器日志和浏览器历史记录中,因此即使它们不可嗅探,也远不安全。是的,您的url不会被嗅探;然而,一个容易被忽视的漏洞是,如果你的页面引用了任何第三方资源,如谷歌分析,添加内容或其他任何内容,你的整个URL将被发送到引用者中的第三方。如果它真的很敏感,那么它不属于查询字符串
至于问题的第二部分,如果服务器上没有证书,就不能使用SSL 在电线上,是的。在端点(浏览器和服务器)不一定。SSL/TLS是。它将加密浏览器和服务器之间的通信。可以在浏览器端查看数据(例如a)。一旦它到达服务器端,它当然对接收者是可用的,并且只有在他对待它时才是安全的。如果数据需要安全地移动到初始交换之外,并且不被窥视到客户端,那么您还应该查看。SSL/TSL是一种传输层安全,是的,可以使用BHO(如@JP所述)或任何附加组件拾取数据,但也可以使用“浏览器外”HTTP嗅探器。它们读取winsock32和应用程序之间的消息。加密在Win32中进行,而不是在浏览器中 看一看(这部分摘自IEinspector页面):
HTTP Analyzer是一个非常方便的工具,它允许您实时监视、跟踪、调试和分析HTTP/HTTPS流量。为什么要投否决票?您的URL作为参考发送到