https 的 url 带有账号、密码、动作等等参数内容,在本地看起来, 1 次请求就完成的过程,中间的流量观察者,能不能直接看到这些内容?
qazwsxkevin · 120 天前 · 3565 次点击这是一个创建于 120 天前的主题,其中的信息可能已经有所发展或是发生改变。
买了个服务,提供方用 url 的 get or post 方式完成服务提供,类似这样: https://service.website.net/ser?xx&yy&zz 的,
https 的概念不熟悉,请问:
1 、https 是 client 在和 web 服务器做完域名 ca 核证、建立 TLS 通道后,才开始握手处理域名后面的内容吗?
2 、这个跟本地客户端的发起者是什么,会过程不同吗?
比如说发起者是 curl 、firefox 浏览器,c++的 sdk http:api 接口?
遵从 https 规范一致性?
3 、那么,bash shell 代码里直接组装成完整 https 的 url 去请求,1 次请求,1 次返回完成,中间人能看到的可能性有多大?
https 的概念不熟悉,请问:
1 、https 是 client 在和 web 服务器做完域名 ca 核证、建立 TLS 通道后,才开始握手处理域名后面的内容吗?
2 、这个跟本地客户端的发起者是什么,会过程不同吗?
比如说发起者是 curl 、firefox 浏览器,c++的 sdk http:api 接口?
遵从 https 规范一致性?
3 、那么,bash shell 代码里直接组装成完整 https 的 url 去请求,1 次请求,1 次返回完成,中间人能看到的可能性有多大?
27 条回复 • 2024-07-14 20:56:06 +08:00
 |
1
yikuo 120 天前 via Android
HTTPS 是加密的,如果没有遭遇中间人攻击,最多只能看到访问的域名,看不到 URL ,也与客户端无关。
|
 |
2
jim9606 120 天前 via Android
TLS 会将所有 HTTP 消息加密,只有域名 service.website.net 会暴露,这完全是因为 TLS 主流应用需要通过 SNI 扩展明文告知域名以供服务器选择证书。
如果客户端有一些状态缓存,在只有被动监听攻击的情况下可以连域名都不暴露。 |
 |
3
forvvvv123 120 天前  3
看不到;
如果考虑保密性,从实践来说,放到 Body 里面( POST 方式)比 URL 里面( GET 方式)会更好,因为除了 tls 保障通信过程中的安全,URL 相比请求 Body 在各个节点更容易被记录和存储(比如默认的 nginx 日志),从而更容易因为其他因素被泄露; |
 |
4
blackeeper 120 天前
问题 1 ,是的,建立 TLS 加密通道后,才开始交换内容信息
问题 2 ,不会,过程是一样的 问题 3 ,中间人看到的可能性为 0 。除非你的证书秘钥泄露给别人,且这个别人是 [中间人] ,能管控你网络的人 |
 |
5
lzy250 120 天前 via iPhone
DPI 也能解析到。
|
 |
6
0o0O0o0O0o 119 天前
1. 是
2. 可能会有区别,但不会破坏 1 ,例如 RFC 8470 3. 前提一定是客户端是安全的,服务器是安全的,证书是安全的。那么考虑的只是会不会被例如 POODLE attack 影响,那只要工具实现是安全的,服务端正确配置了,就不需要担心。 |
 |
7
yuzo555 119 天前
我有一个疑问,Win 下一个程序获取管理员权限后,添加的根证书,可以用来劫持监听浏览器的 HTTPS 流量吗?
我看那些网游加速器随随便便就会添加一个根证书到系统里面。 |
|
9
0o0O0o0O0o 119 天前
|
 |
11
GeekGao 119 天前
虽然理论上存在一些高级的攻击方法可能会威胁到 HTTPS 的安全性,但对于一般的流量观察者来说,由于 HTTPS 的加密特性,他们无法直接看到 URL 中的账号、密码或其他敏感信息,只能看到域名。
如果遇到中间人攻击,那么都透明了,无所谓敏感信息放在 URL or Body 。 |
 |
12
Trim21 119 天前 via Android
在证书安全,加密算法没漏洞的情况下,中间人看不到 url 域名以外的东西。
|
 |
13
elboble 119 天前
get 不好看,就用 post 呗,至少 url 上看不到。
不过参数在 https 下都看不到的, 还是那句话,也不是不能用 |
 |
14
dode 119 天前
提供 get 兼容纯粹是为了不懂的人设计的简化吧,你可以用 post
|
 |
15
misaka19000 119 天前
HTTPS 除了域名之外什么都看不到
|
 |
16
salmon5 119 天前
@forvvvv123 #3 还有一种风险,而且这个风险更大:
搜索引擎比如 bing 等,会把自家的浏览器( edge )用户的访问记录,给自家的爬虫爬,然后全球的人都可能搜索到。 |
|
17
salmon5 119 天前
然后
https://example.com/login?user_name=abc&password=xyz 就会出现在 bing 的搜索结果中,这块 google 就处理的很专业,收录的时候会把 args 去掉。 |
 |
19
feiyan35488 119 天前
@yuzo555 有根证书后,还需要配合中间人劫持流量才行,类似使用 charles 抓包, 一般只会存在个别场合里或 gfw 封控的域名下
|
 |
20
julyclyde 117 天前
@forvvvv123 如果你真的读过 HTTP 标准,就不会觉得这种情况 GET 和 POST 有什么区别
HTTP 请求的时候,用户名密码并不在 URL 里而是在 header 里 |
|
21
forvvvv123 117 天前
@julyclyde 所以不推荐放 get 里面啊
|
|
22
julyclyde 117 天前
|
|
23
forvvvv123 117 天前
@julyclyde 无非就是放到 urlpath 、get 参数、post 参数、header 这几个地方嘛,放 header 、post 参数会比放 urlpath 、get 参数好,因为 url 和 get 参数更容易被各个地方记录。 不是这个意思吗?
|
|
24
julyclyde 117 天前
@forvvvv123 对啊,但现实是没在你认为容易记录的位置上啊
|
|
25
forvvvv123 117 天前
@julyclyde 你的意思是现实中的实现其实都是在 header 和 post 上?
|
|
26
julyclyde 117 天前
@forvvvv123 我上面都说过了啊“如果你真的读过标准”
|
|
27
forvvvv123 117 天前
@julyclyde 哦哦哦哦哦,是这个意思
|
Select Language