19 votes

Wasim Shaikh avatar

Un pirate peut-il renifler des données dans une URL via HTTPS ?

Demandé el 1 de Octobre, 2010
Quand la question a-t-elle été
14790 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Les données incluses dans une URL peuvent-elles être considérées comme sûres si la connexion est effectuée via HTTPS ? Par exemple, si un utilisateur clique sur un lien dans un courrier électronique qui pointe vers https://mysite.com?mysecretstring=1234 Serait-il possible pour un attaquant d'extraire "mysecretstring" de l'URL ?

Demandé el 1 de Octobre, 2010 par Wasim Shaikh

Réponses

Trop de publicités?

26voto

Karl Knechtel avatar
Karl Knechtel Points 377

L'intégralité de la requête HTTP (et de la réponse) est cryptée, y compris l'URL.

Mais oui, il existe un moyen pour un pirate de s'emparer de l'URL complète : par le biais de l'en-tête Referer. S'il existe un fichier externe (Javscript, CSS, etc.) qui n'est pas en HTTPS, l'URL complète peut être récupérée dans l'en-tête Referer. Il en va de même si l'utilisateur clique sur un lien dans la page qui mène à une page HTTP (sans SSL).

De plus, les requêtes DNS ne sont pas cryptées, de sorte qu'un pirate pourrait savoir que l'utilisateur se rend sur mysite.com.

Répondu el 1 de Octobre, 2010 par Karl Knechtel (377 Points )

15voto

Chris avatar
Chris Points 141

Non, ils peuvent voir la connexion ie mysite.com mais pas le ?mysecretstring=1234 le https est serveur à serveur

Répondu el 1 de Octobre, 2010 par Chris (141 Points )

0voto

Andrea Raimondi avatar
Andrea Raimondi Points 339

Ils doivent disposer de la clé de cryptage. Théoriquement, ce n'est pas possible, mais n'importe quelle bonne attaque pourrait le faire. C'est la raison d'être du protocole SSL, qui consiste à crypter toutes les données envoyées et reçues par le serveur afin d'empêcher toute tentative de piratage.

Répondu el 1 de Octobre, 2010 par Andrea Raimondi (339 Points )

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Veillez à la sécurité de vos blogs, ou ne les écrivez même pas. Si vous êtes victime d'un exploit à distance qui permet de lire les journaux, toutes les données URL seront visibles dans les journaux.

Répondu el 1 de Octobre, 2010 par Utilisateur non enregistré (0 Points )

-1voto

cbeuker avatar
cbeuker Points 685

Seulement s'ils sont capables de renifler l'authentification https par une sorte d'usurpation d'identité.

Répondu el 1 de Octobre, 2010 par cbeuker (685 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X