Homepage » come » Le terze parti possono leggere l'URL completo durante la navigazione tramite HTTPS?

    Le terze parti possono leggere l'URL completo durante la navigazione tramite HTTPS?


    Quando visiti in modo sicuro un sito web tramite https: // i dati inviati tra il server e il tuo browser sono crittografati, ma per quanto riguarda gli URL che stai visitando all'interno del sito? Il tuo ISP o altri osservatori di terze parti possono vedere ciò che stai guardando?

    La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte basato sulla comunità.

    La domanda

    Un lettore SuperUser anonimo vuole sapere se le sue sessioni di navigazione sono completamente sicure:

    Sappiamo tutti che HTTPS crittografa la connessione tra il computer e il server in modo che non possa essere visualizzata da terzi. Tuttavia, l'ISP o una terza parte possono vedere il link esatto della pagina a cui l'utente ha avuto accesso?

    Ad esempio, visito:

    https://www.website.com/data/abc.html

    L'ISP saprà che ho effettuato l'accesso * / data / abc.html o semplicemente so che ho visitato l'IP di www.website.com?

    Se lo sanno, allora perché Wikipedia e Google hanno HTTPS quando qualcuno può semplicemente leggere i registri di Internet e scoprire il contenuto esatto che l'utente ha visualizzato?

    Una domanda interessante che ha certamente implicazioni per la privacy personale. Indagiamo.

    La risposta

    Collaboratore SuperUser Grawity offre una panoramica molto concisa di come l'intero URL viene elaborato lungo il percorso:

    Da sinistra a destra:

    Il schema https: è, ovviamente, interpretato dal browser.

    Il nome del dominio www.website.com è risolto in un indirizzo IP usando DNS. Il tuo ISP vedremo la richiesta DNS per questo dominio e la risposta.

    Il sentiero /data/abc.html viene inviato nella richiesta HTTP. Se usi HTTPS, questo sarà crittografato insieme al resto della richiesta e della risposta HTTP.

    Il stringa della domanda ?questo = che, se presente nell'URL, viene inviato nella richiesta HTTP - insieme al percorso. Quindi è anche crittografato.

    Il frammento #Là, se presente, non viene inviato da nessuna parte - è interpretato dal browser (a volte da JavaScript nella pagina restituita).

    In breve, tutto a destra del nome di dominio viene crittografato dalla sessione HTTPS e rimane invisibile al tuo ISP o a chiunque altro sbirciando le tue attività.


    Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.