Чи можуть сторонні особи прочитати повну URL-адресу при перегляді через HTTPS?
Коли ви надійно відвідуєте веб-сайт за допомогою https: //, дані, надіслані між сервером і веб-переглядачем, зашифровані, але як щодо URL-адрес, які ви відвідуєте? Чи зможе ваш провайдер чи інший спостерігач від третьої сторони побачити, що ви дивитеся?
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..
Питання
Читач анонімного суперкористувача хоче знати, чи ці сеанси перегляду повністю захищені:
Ми всі знаємо, що HTTPS шифрує з'єднання між комп'ютером і сервером, щоб його не могли переглядати треті сторони. Проте, чи може провайдер або третя сторона бачити точне посилання сторінки, до якої користувач звернувся?
Наприклад, я відвідую:
https://www.website.com/data/abc.html
Чи знайдуть провайдери, що я звернувся до * / data / abc.html або просто знаю, що відвідав IP-адресу www.website.com?
Якщо вони знають, то чому Вікіпедія і Google мають HTTPS, коли хтось може просто читати журнали в Інтернеті і дізнатися точний вміст, який переглянуто користувачем?
Цікаве питання, яке, безумовно, має наслідки для конфіденційності особи. Давайте розберемося.
Відповідь
Співробітник SuperUser Grawity пропонує дуже стислий огляд того, як повна обробка URL-адреси обробляється:
Зліва направо:
The схема
https:
це, очевидно, інтерпретується браузером.The Доменне ім'я
www.website.com
вирішується на IP-адресу за допомогою DNS. Ваш провайдер побачимо запит DNS для цього домену та відповідь.The шлях
/data/abc.html
надсилається в HTTP-запиті. Якщо ви використовуєте HTTPS, це буде зашифровано разом з рештою HTTP-запиту та відповіді.The рядок запиту
?це = це
, якщо він присутній у URL-адресі, надсилається в HTTP-запиті - разом з контуром. Так що це також зашифровано.The фрагмент
#there
, якщо він присутній, нікуди не надсилається - це інтерпретується браузером (іноді за допомогою JavaScript на повернутій сторінці).
Коротше кажучи, все праворуч від імені домену зашифровано сеансом HTTPS і залишається невидимим для вашого провайдера або будь-якого іншого, хто заглядає в вашу діяльність.
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.