攻击者可以通过HTTPS嗅探URL中的数据吗?

如果通过HTTPS进行连接,可以将包含在URL中的数据视为安全吗? 例如,如果用户点击指向https://mysite.com?mysecretstring=1234的电子邮件中的链接,攻击者是否可以从URL中获取“mysecretstring”?

整个HTTP请求(和响应)被encryption,包括URL。

但是,是的,攻击者可以通过Referer头部获取完整的URL。 如果有任何未通过HTTPS的外部文件(Javscript,CSS等),则可以在Referer头中嗅探完整的URL。 如果用户单击通向HTTP(无SSL)页面的页面中的链接,则相同。

此外,DNS请求没有encryption,所以攻击者可以知道用户将要去mysite.com。

不,他们可以看到连接,即mysite.com但不是?mysecretstring = 1234 https是服务器到服务器

他们需要有encryption密钥。 理论上这是不可能的,但任何好的攻击都可以。 这是SSL的全部目的,encryption所有发送到服务器和从服务器发送来的数据,以防止被窥探。

保持你的博客安全,或者甚至不写。 如果您在可以读取日志的位置获得远程利用,则任何URL数据都将在日志中可见。

只有他们能够通过某种欺骗来嗅探httpsauthentication