Si los ISP obtienen licencias para registrar y vender los datos de tráfico del cliente, ¿por qué Google no cambia al método POST para que las consultas de búsqueda brinden mayor seguridad a los usuarios, mientras que ya se usa HTTPS?
Los ISP podrán registrar / vender consultas como DNS, que no filtra información sobre contenido que no sea el nombre de dominio.
Si los ISP registran el tráfico, los datos POST / GET son igualmente fáciles de capturar. Si el tráfico se envía a través de HTTPS es igual de difícil de capturar. El túnel SSL / TLS es seguro de extremo a extremo, independientemente del contenido que se transfiera.
La única forma en que los proveedores de servicios de Internet pueden ver las comunicaciones seguras es mediante la intervención de un hombre en el medio del tráfico, como hacer que instale su propia CA DE RAÍZ para que puedan establecer sus comunicaciones como proxy. Pero de nuevo entonces verían todos los POST / GETs de todos modos.
Sí, te estás perdiendo algo. El canal HTTPS se abre primero y luego la solicitud GET se envía a través del túnel. No está expuesto en absoluto.
Es como esto: enlace ...
No hay forma de que el ISP pueda capturar nada detrás del enlace ... Todo en el protocolo HTTP, incluida la solicitud y los encabezados, está cifrado y No importa si es get o post. Los datos encriptados son:
GET /search?q=... HTTP/1.1
Host: google.com
....
en caso de publicación:
POST /search HTTP/1.1
Host: google.com
...
\n
q=....