Могут ли отображаться URL-адреса, даже если клиент взаимодействует с сервером через SSL? Я спрашиваю, потому что я делаю удаленный вход & перенаправляет на физически другой сервер по URL-адресу и задается вопросом, предотвратит ли безопасность связь через SSL, предотвратит повторные атаки и т. П.Если сайт защищен через SSL, может ли сетевой сниффер по-прежнему читать запрашиваемые URL-адреса?
Сниффер будет знать IP (и, вероятно, имя хоста) сервера, на который вы запрашиваете, и время/количество переданной информации, но ничего больше.
Да, повторение (и человек в середине) предотвращает использование SSL, если вы не доверяете взломанному корневому сертификату.
Злоумышленник может наблюдать как имя хоста (путем просмотра вашего DNS-трафика), так и IP-адрес, к которому вы подключаетесь. Однако имя пользователя, пароль и часть пути не должны быть доступны.
Конечно, у клиента всегда есть доступ к этой информации.
Сетевому снифферу понадобится как открытый, так и закрытый ключ для дешифрования трафика SSL.
SSL устанавливает зашифрованный сеанс между двумя машинами, а затем запускает «обычный» HTTP по этому зашифрованному соединению, чтобы он мог видеть, к какой физической машине вы подключены, но за ее пределами ничего не видно в вашем соединении.
Как утверждают другие, они могут посмотреть запросы DNS, которые наиболее вероятно определяют имя хоста.
Также есть продукты, которые обходят эту защиту в бизнес-среде, устанавливая новый корневой сертификат на клиентской машине и имея прокси-сервер, делают соединение от вашего имени, а затем генерируют «поддельный» сертификат для сайт, созданный с использованием их корневого ключа, чтобы сделать сеанс в браузере, чтобы у вас было безопасное SSL-соединение с сервером, но на самом деле это только прокси. Вы можете посмотреть цепочку сертификатов для подключения, чтобы определить, происходит ли это, но мало кто будет беспокоиться.
Так, чтобы ответить на ваш вопрос - не полный URL не может быть понюхал - но доступ к клиентской машине можно сделать это часть пути,
Однако, вероятно, вы доверяете скомпрометированной корневой сертификат. , например, тот, который включен в этот удобный инструмент ... http://www.thoughtcrime.org/software/sslsniff/ –