¿El ISP puede ver la URL antes de que la solicitud HTTP sea 301 redirigida a HTTPS?

19

Digamos que escribo http://domain.com/... como una URL. El servidor domain.com realiza un redireccionamiento 301 de todas las solicitudes HTTP a la versión HTTPS, por lo que me muestra https://domain.com/... .

¿Mi ISP puede ver la URL completa (no solo el nombre de dominio) que ingresé con HTTP cuando hice la solicitud (si están monitoreando el tráfico)?

    
pregunta Mike Fawles 02.10.2015 - 14:35
fuente

4 respuestas

21

Sí.

Esta es la razón por la que SslStrip . (De acuerdo, uno de las razones).

HTTP está en claro. Así que el 301 también está claro. Cualquiera que esté escuchando con, por ejemplo. Wireshark podrá ver esto. (Pruébelo usted mismo en el mismo host. Es fácil.)

    
respondido por el StackzOfZtuff 02.10.2015 - 14:41
fuente
15

Sí, el ISP puede ver la URL completa como la solicitud antes de que la redirección a HTTPS sea HTTP simple.

HTTP Strict Transport Security (HSTS) intenta solucionarlo al hacer que el servidor notifique al navegador que solo se conecte HTTPS. Por supuesto, la primera solicitud a un sitio habilitado para HSTS aún no está encriptada, porque el navegador no conoce la política de HSTS del sitio. Los proveedores de navegadores intentan solucionarlo manteniendo listas de sitios habilitados para HSTS.

Si es solo por su propia seguridad (y no en general), también puede usar HTTPS Everywhere , un complemento para la mayoría de los navegadores que tiene una lista de sitios que se sabe que admiten HTTPS correctamente y que puede y debe agregar sitios que aún no están en la lista pero son compatibles con HTTPS, ya que este proyecto es impulsado por la comunidad.

    
respondido por el Michael D. 02.10.2015 - 17:59
fuente
6

Para agregar a la respuesta de @ StackzOfZtuff (no puedo hacer comentarios todavía, o si no), antes de que HTTP y TLS se involucren, su protocolo de enlace TCP es visible haciendo referencia al host real y la naturaleza de la solicitud. Después de eso, su cliente HELO al servidor web es visible, aunque la URL en sí no se presenta. Sus datos, incluido el GET real, se cifran una vez que se realiza el intercambio de claves SSL entre usted y el servidor. Para entonces, ya hay aproximadamente 9 paquetes en la secuencia.

En situaciones en las que HTTP está redirigiendo a HTTPS, esa respuesta 301 del servidor para enviarlo a la URL de HTTPS relevante no se produce hasta después de que su navegador haya enviado 'GET /.txt' en claro. Además, la respuesta 301 con URL es completamente visible, ya que también se envía a través de HTTP sin cifrar.

    
respondido por el Zuryn 02.10.2015 - 17:55
fuente
0

Sí, su ISP puede ver la URL de su solicitud HTTP porque la URL se envía sin cifrar.

Además, su ISP puede ver el nombre de host de la URL incluso después de realizar el salto a HTTPS si el sitio web está usando SNI ( enlace ) que es un escenario cada vez más probable en la naturaleza. Por ejemplo ( enlace )

    
respondido por el Aaron 03.10.2015 - 04:35
fuente

Lea otras preguntas en las etiquetas