Security HTTPS响应正文-是否安全?

Security HTTPS响应正文-是否安全?,security,encryption,https,Security,Encryption,Https,希望了解响应的HTTPS正文部分是否加密。此外,在HTTPS请求中,标头是否以纯文本/加密的形式传输 是否有任何工具可以让我在不解密的情况下观察原始HTTPS流量。通过HTTPS发送的任何内容都使用SSL传输进行加密 请尝试或将其作为有用的工具。HTTPS是HTTP over SSL。因此,整个HTTP通信都是加密的。使用HTTPS时,请求和应答的全部内容都是加密的,包括头和正文。明文形式的HTTP协议发生在网络之上,因此网络上的内容是加密的。是的,https流是加密的。当https连接初始化时

希望了解响应的HTTPS正文部分是否加密。此外,在HTTPS请求中,标头是否以纯文本/加密的形式传输


是否有任何工具可以让我在不解密的情况下观察原始HTTPS流量。

通过HTTPS发送的任何内容都使用SSL传输进行加密


请尝试或将其作为有用的工具。

HTTPS是HTTP over SSL。因此,整个HTTP通信都是加密的。

使用HTTPS时,请求和应答的全部内容都是加密的,包括头和正文。明文形式的HTTP协议发生在网络之上,因此网络上的内容是加密的。

是的,https流是加密的。当https连接初始化时,它使用一种强加密算法来握手,并与其他部分商定一种强度较小但速度更快的流加密算法


要观察网络数据包,可以使用嗅探器,例如。

整个HTTP会话都是加密的,包括头和正文


任何数据包嗅探器都应该能够向您显示原始流量,但对于没有深入了解SSL的人来说,它就像是随机字节,即使这样,您也只能将密钥交换视为第三方。

任何数据包捕获/嗅探工具都可以向您显示原始HTTPS流量。要查看实际内容(通过解密),请使用Fiddler。

正如其他帖子所说的-HTTPS是HTTP(明文),在TCP/IP层的顶部用SSL封装。HTTP消息的每一部分都是加密的。因此,堆栈看起来像:

TCP/IP


SSL


HTTP

就加密而言,无法看到HTTP消息的任何部分周围都有SSL

如果需要调试流量,我建议如下:

  • 使用网络流量监视程序(如Ethereal)监视连接的创建。这将让您看到连接已启动。它将向您显示SSL握手的开始、失败的详细信息,以及会话设置时的密码文本链。密文不是很有用,但它的存在让你知道数据在来回移动
  • 在设置HTTPS之前,请清除您的http层。我使用过的每个应用程序或web服务器都允许我关闭HTTPS,并在clear中托管相同的URL集。这样做,并观看它与相同的网络工具
  • 如果您让双方都使用HTTP进行对话,而HTTPS上的一切都中断了,那么是时候查看SSL会话的建立或这两点之间可能会中断流的任何内容了
HTTP头也是加密的。重复这一点对于海报问题并不重要,但我不得不指出,浏览器将在其历史记录中存储URL和后续查询字符串。因此,当通过SSL进行通信时,浏览器可能会保存任何查询字符串值。换句话说,即使您通过SSL进行通信,也不要将敏感信息放在查询字符串中。我不确定,但我认为服务器在其访问日志中也会这样做。我更关心代理服务器,它们可以记录URL,甚至请求响应。所以,我肯定知道URL没有加密,那么头和响应体呢?整个HTTP通信都是加密的。URL是HTTP的一部分。因此,它们也是加密的。只有客户端和服务器的IP地址不正确。代理服务器无法查看HTTPS URL、请求或响应。他们看到的只是一个HTTP连接请求。您可以使用Fiddler准确地看到代理所看到的内容,而无需打开“解密HTTPS流量”选项,这是远程代理无法使用的选项。