¿Los valores GET también están cifrados / protegidos por SSL?

5

Por ejemplo, enviamos un formulario en el siguiente sitio:

enlace (cifrado SSL)

Luego, el formulario se envía como método GET, por lo que se vuelve así:

enlace

Si el usuario está utilizando una conexión VPN o si el ISP está rastreando al usuario, ¿pueden ver esto "ALGO"?

  

Sé que los formularios publicados están protegidos cuando se usa SSL, pero ¿no pueden simplemente ver que el usuario de la URL COMPLETA está visitando y obtener el valor "ANYTHING"?

    
pregunta Ara 13.08.2015 - 21:43
fuente

2 respuestas

9

Sí, cualquier valor en una declaración GET o datos POST (por ejemplo, ?user=ANYTHING ), se cifra una vez que se negocian las sesiones SSL / TLS.

Durante una conexión TLS, lo primero que sucede es un mensaje de "Cliente" que comienza a negociar los cifrados de cifrado / cifrado de hashing para establecer una conexión. En algunos navegadores, el nombre de host se envía mediante el protocolo SNI antes de establecer la sesión. Además, si utiliza un proxy HTTP explícito (configurado por la configuración del navegador, la política de grupo), el nombre de host simple se envía mediante una declaración CONNECT transmitida en texto plano. Sin embargo, solo el nombre de host se envía en el escenario más detallado, nunca la página solicitada o los datos POST.

Después de negociar la sesión, se emite el comando tradicional HTTP GET. Este comando se envía a través de una sesión TLS, por lo que los datos están cifrados y no son vulnerables a la escucha fácil.

Puede consultar aquí para ver un poco más de detalles .

    
respondido por el Herringbone Cat 13.08.2015 - 21:51
fuente
2

Cuando una conexión está cifrada con SSL, todo el contenido de la conexión está cifrado, incluidos los valores GET.

    
respondido por el ztk 13.08.2015 - 21:51
fuente

Lea otras preguntas en las etiquetas