142 votes

Jader Dias avatar

Les données GET sont-elles également cryptées en HTTPS ?

Demandé el 10 de Novembre, 2010
Quand la question a-t-elle été
13940 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Lorsque vous obtenez

https://encrypted.google.com/search?q=%s

Le site %s La requête est cryptée ? Ou seulement la réponse ? Si ce n'est pas le cas, pourquoi Google devrait-il servir son contenu public également de manière cryptée ?

Demandé el 10 de Novembre, 2010 par Jader Dias

Réponses

Trop de publicités?

164voto

Marcelo Cantos avatar
Marcelo Cantos Points 91211

La requête entière est chiffrée, y compris l'URL, et même la commande ( GET ). La seule chose qu'un intervenant tel qu'un serveur proxy peut glaner est l'adresse et le port de destination.

Notez, cependant, que le paquet Client Hello d'une poignée de main TLS peut annoncer le fqdn en clair par le biais de la balise SNI extension (merci @hafichuk), qui est utilisé par tous les navigateurs modernes grand public, bien que certains ne fonctionnent que sur les systèmes d'exploitation les plus récents.

EDIT : (Puisque cela vient de me valoir un badge "Bonne réponse", je suppose que je devrais répondre à la question en entier )

L'ensemble de la réponse est également crypté ; les proxies ne peuvent en intercepter aucune partie.

Google diffuse les recherches et d'autres contenus via https, car ils ne sont pas tous publics. Vous pouvez également souhaiter masquer une partie du contenu public à un tiers. MITM . Dans tous les cas, il est préférable de laisser Google répondre pour eux-mêmes .

Répondu el 10 de Novembre, 2010 par Marcelo Cantos (91211 Points )

2 votes

Avatar de Abhishek

Je suis un peu mécontent de l'affirmation selon laquelle l'URL est cryptée. Le nom d'hôte n'est-il pas considéré comme une partie de l'URL ? Si c'est le cas, l'affirmation est fausse. Il n'y a aucun moyen de cacher le nom d'hôte/l'adresse IP au FAI/serveur proxy, de la même manière que vous ne pouvez pas cacher l'adresse de destination lorsque vous envoyez du courrier physique.

Commenté el 24 de Mars, 2014 par Abhishek

1 votes

Avatar de Marcelo Cantos

@Abhishek : Le nom d'hôte n'est pas présent dans l'en-tête TCP/IP. Je couvre les adresses IP dans ma réponse.

Commenté el 29 de Mars, 2014 par Marcelo Cantos

1 votes

Avatar de hafichuk

Le domaine est pas crypté. Il s'agit de prendre en charge les hôtes virtuels basés sur le nom (par opposition aux hôtes virtuels basés sur l'IP). @MarceloCantos a tout à fait raison de dire que le reste de l'URL (c'est-à-dire l'élément GET ) est chiffré. Ce sujet est traité dans RFC 4366

Commenté el 11 de Juillet, 2014 par hafichuk
Afficher 2 autres commentaires

71voto

Thomas avatar
Thomas Points 63635

L'URL elle-même est cryptée, de sorte que les paramètres de la chaîne de requête ne circulent pas en clair sur le réseau.

Toutefois, n'oubliez pas que les URL comprenant des données GET sont souvent enregistrées par le serveur Web, alors que les données POST le sont rarement. Ainsi, si vous envisagez de faire quelque chose comme /login/?username=john&password=doe alors ne le faites pas ; utilisez plutôt un POST.

Répondu el 20 de Janvier, 2011 par Thomas (63635 Points )

2 votes

Avatar de orokusaki

+1 merci. Ce site est sur mon propre serveur physique, donc je ne suis pas trop inquiet au sujet des journaux, mais c'est une bonne considération pour quiconque envisage de le faire dans un environnement d'hébergement partagé. C'est également important à prendre en compte parce que je vais transférer des numéros de carte de crédit de cette façon, et je ne veux certainement pas les enregistrer :)

Commenté el 21 de Janvier, 2011 par orokusaki

3 votes

Avatar de Thomas

Le fait que ce soit votre propre boîte n'a pas vraiment d'importance. Vous ne voulez pas non plus que les autres propriétaires (c'est-à-dire les pirates informatiques malveillants) voient ces mots de passe en texte clair. Ou ces numéros de carte de crédit (en supposant que vous ne les stockez pas ailleurs également).

Commenté el 21 de Janvier, 2011 par Thomas

0 votes

Avatar de Ricardo Pessoa

Bonjour, malgré l'utilisation de https et de la méthode POST, il est possible de voir dans le navigateur les données du formulaire comme username=john&password=doe. Dans ce cas, nous pouvons utiliser le cryptage, ou exister une meilleure solution ? Merci

Commenté el 30 de Décembre, 2014 par Ricardo Pessoa
Afficher 4 autres commentaires

22voto

DVK avatar
DVK Points 63282

HTTPS Établit une connexion SSL sous-jacente avant le transfert de données HTTP. transférées. Cela garantit que toutes les données URL (à l'exception du du nom d'hôte, qui est utilisé pour établir la connexion) sont transportées uniquement dans cette connexion cryptée et sont protégées des attaques de type contre les attaques de type "man-in-the-middle" de la même manière que les données HTTPS.

Ce qui précède est une partie d'une réponse TRÈS complète de Google Answers située ici :

http://answers.google.com/answers/threadview/id/758002.html#answer

Répondu el 20 de Janvier, 2011 par DVK (63282 Points )

22voto

levis501 avatar
levis501 Points 2222

La partie de l'URL après le nom d'hôte est envoyée de manière sécurisée.

Par exemple, https://somewhere.com/index.php?NAME=FIELD

Le site /index.php?NAME=FIELD est chiffrée. Le site somewhere.com ne l'est pas.

Répondu el 20 de Janvier, 2011 par levis501 (2222 Points )

5voto

cHao avatar
cHao Points 42294

La connexion est cryptée avant la transmission de la demande. Donc oui, la requête est également cryptée, y compris la chaîne de requête.

Répondu el 10 de Novembre, 2010 par cHao (42294 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X