Bolehkah Pihak Ketiga Membaca URL Penuh Semasa Menyemak imbas melalui HTTPS?
Apabila anda melayari laman web dengan selamat menerusi https: // data yang dihantar antara pelayan dan penyemak imbas anda disulitkan tetapi bagaimana pula dengan URL yang anda lawati dalam laman web ini? Bolehkah ISP atau pemerhati pihak ketiga anda melihat apa yang anda lihat?
Sesi Soalan & Jawapan hari ini datang kepada kami dengan ihsan SuperUser-bahagian pembahagian Stack Exchange, kumpulan yang diketuai oleh komuniti laman web Q & A.
Soalan
Pembaca SuperUser tanpa nama ingin mengetahui sama ada sesi penyemakan mereka benar-benar selamat:
Kita semua tahu bahawa HTTPS menyulitkan sambungan antara komputer dan pelayan supaya ia tidak dapat dilihat oleh pihak ketiga. Walau bagaimanapun, bolehkah ISP atau pihak ketiga melihat pautan tepat halaman pengguna yang diakses?
Sebagai contoh, saya lawati:
https://www.website.com/data/abc.html
Adakah ISP tahu bahawa saya mengakses * / data / abc.html atau hanya tahu bahawa saya melawat IP of www.website.com?
Jika mereka tahu, maka mengapa Wikipedia dan Google mempunyai HTTPS apabila seseorang hanya dapat membaca log internet dan mengetahui kandungan yang tepat pengguna dilihat?
Satu soalan yang menarik yang pasti mempunyai implikasi untuk privasi peribadi. Mari kita siasat.
Jawapan
Penyumbang SuperUser Grawity menawarkan gambaran ringkas mengenai bagaimana URL penuh diproses di sepanjang jalan:
Dari kiri ke kanan:
The skema
https:
adalah, jelas, diterjemahkan oleh penyemak imbas.The nama domain
www.website.com
diselesaikan ke alamat IP menggunakan DNS. ISP anda akan lihat permintaan DNS untuk domain ini, dan tindak balas.The jalan
/data/abc.html
dihantar dalam permintaan HTTP. Jika anda menggunakan HTTPS, ia akan disulitkan bersama-sama dengan permintaan dan tindak balas HTTP lainnya.The rentetan pertanyaan
?ini = itu
, jika ada dalam URL, dihantar dalam permintaan HTTP - bersama-sama dengan laluan. Jadi ia juga disulitkan.The serpihan
#there
, jika ada, tidak dihantar di mana-mana - ia ditafsirkan oleh penyemak imbas (kadang kala oleh JavaScript pada halaman yang dikembalikan).
Pendek kata, segala-galanya di sebelah kanan nama domain disulitkan oleh sesi HTTPS dan masih tidak dapat dilihat oleh ISP anda atau sesiapa yang mengintip aktiviti anda.
Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.