공격자가 HTTPS를 통해 URL에서 데이터를 스니핑 할 수 있습니까? 들어, 사용자가 이메일에서 https://mysite.com?mysecretstring=1234 를 가리키는 링크를

HTTPS를 통해 연결하는 경우 URL에 포함 된 데이터를 안전한 것으로 간주 할 수 있습니까? 예를 들어, 사용자가 이메일에서 https://mysite.com?mysecretstring=1234 를 가리키는 링크를 클릭 하면 침입자가 URL에서 “mysecretstring”을 가져올 수 있습니까?



답변

URL을 포함하여 전체 HTTP 요청 및 응답이 암호화됩니다.

그러나 그렇습니다. 공격자가 Referer 헤더를 통해 전체 URL을 가져올 수있는 방법이 있습니다. HTTPS를 통하지 않는 외부 파일 (Javscript, CSS 등)이 있으면 Referer 헤더에서 전체 URL을 스니핑 할 수 있습니다. 사용자가 페이지에서 HTTP (SSL 없음) 페이지로 연결되는 링크를 클릭하면 동일합니다.

또한 DNS 요청은 암호화되지 않으므로 공격자가 사용자가 mysite.com으로 이동한다는 것을 알 수 있습니다.


답변

아니요, 그들은 mysite.com과의 연결을 볼 수 있지만? mysecretstring = 1234는 볼 수 없습니다.


답변

암호화 키가 있어야합니다. 이론적으로 이것은 불가능하지만 좋은 공격은 가능합니다. 이것은 스니핑을 방지하기 위해 서버와주고받는 모든 데이터를 암호화하는 SSL의 전체 목적입니다.


답변

웹 로그를 안전하게 유지하거나 작성하지 마십시오. 로그를 읽을 수있는 원격 악용을 받으면 모든 URL 데이터가 로그에 표시됩니다.


답변

그들이 어떤 종류의 스푸핑을 통해 https 인증을 스니핑 할 수있는 경우에만