Cacher un fichier de page web avec un dossier aléatoire et SSL ?

Question

Une requête SSL affiche-t-elle la page demandée ou seulement le domaine ?

J'essaie de cacher des fichiers dans un répertoire sur un serveur web en utilisant des noms de dossiers aléatoires. i.e. https://www.mydomain.com/DKSLW3020SLK43J9S0935KJSLK350S9/MyFile.pdf

Le nom aléatoire du dossier assure la sécurité au lieu d'un mot de passe. Le risque est qu'un tiers interceptant les sauts du routeur puisse voir la page demandée et que le dossier caché ne soit plus aussi caché.

Si l'accès se fait par SSL, la connexion SSL se fait-elle d'abord avec mydomain.com, puis avec la page demandée, ou bien un espion verra-t-il l'intégralité de la page :

/DKSLW3020SLK43J9S0935KJSLK350S9/MyFile.pdf

la fin de la demande ?

Merci de votre aide !

Answer 1

Une attaque normale de type "man-in-the-middle" ne verra pas l'URL complète. Cependant, l'utilisateur final peut choisir de faire circuler l'URL. Est-ce un problème ?

Answer 2

Si vous parlez de HTTPS, l'espion ne verra rien du tout, juste l'adresse du site auquel l'utilisateur se connecte.

Essayez vous-même en utilisant un renifleur HTTP tel que Violoniste . (Fiddler dispose d'une option permettant de décrypter HTTPS, mais cela n'est pas possible pour un espion).

Answer 3

Oui, SSL protège l'URL contre les tiers.