Vous devez supposer que l'URL n'est pas protégée, c'est-à-dire qu'un espion passif peut être en mesure de savoir quelle URL vous visitez.
Je me rends compte que cela contredit ce que d'autres personnes prétendent, alors je Je ferais mieux d'expliquer.
Il est vrai que tout ce qui suit le nom de domaine est envoyé crypté. Par exemple, si l'url est https://www.example.com/foo/bar.html
, alors www.example.com
est visible par l'attaquant, tandis que la requête HTTP ( GET /foo/bar.html HTTP / 1.0
) est cryptée. Cela empêche un espion de voir directement la partie chemin de l'URL. Cependant, la longueur de la partie chemin de l'URL peut être visible par les espions. En outre, d'autres informations, telles que la longueur de la page que vous avez visitée, peuvent également être visibles par l'interlocuteur. C'est un pied dans la porte pour l'attaquant. Il y a eu des recherches qui utilisent ce pied dans la porte pour savoir quelles URL vous visitez, si l'attaquant peut espionner votre trafic https.
Bien qu'il n'y ait aucune garantie que ces attaques réussiront, je suggère qu'il serait prudent de supposer le pire: supposer qu'un espion peut être en mesure de savoir quelles URL vous visitez. Par conséquent, vous ne devez pas supposer que SSL / TLS cache à un espion les pages que vous visitez.
Oui, https assure l'intégrité de l'URL que vous avez visitée.
PS Autre mise en garde: en pratique, sslstrip et d’autres attaques man-in-the-middle peuvent réussir contre la plupart ou la plupart des utilisateurs, si le site Web n’utilise pas HSTS. Ces attaques peuvent violer à la fois la confidentialité et l'intégrité de l'URL. Par conséquent, si les utilisateurs visitent des sites Web qui n'utilisent pas HSTS sur un réseau non sécurisé (par exemple, une connexion Wi-Fi ouverte), vous devez vous méfier du fait qu'un attaquant pourrait être en mesure de savoir quelles pages les utilisateurs visitent. Une atténuation partielle contre la menace sslstrip consiste pour les utilisateurs à utiliser HTTPS Partout et pour les sites d'adopter HSTS.