当前位置：文江博客话题详情

GET 数据是否也在 HTTPS 中加密？

发布于 2024-10-02 08:50:08 字数 194 浏览 5 评论 0原文

当您获取

https://crypted.google.com/search?q=%s

%s 查询是否已加密？还是只是回应？如果不是，为什么谷歌还要对其公共内容进行加密呢？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

暮年 2024-10-09 08:50:09

使用 HTTPS 时，GET 请求会被加密 - 事实上，这就是为什么安全网站需要有唯一的 IP 地址 - 在解密之前，无法从请求中获取预期的主机名（或虚拟目录）。

回复收藏 0 原文

北风几吹夏 2024-10-09 08:50:09

上面有一点混乱：

尽管如此，它不再需要具有唯一的 IP 地址，因为 SNI 字段告诉服务器使用哪个证书，
除了非常早的 SNI 请求之外，所有内容都已加密。这告诉服务器哪个名称以及要使用哪个证书。也就是说，服务器名称指示符以未加密的方式发送，以便服务器和客户端可以建立安全连接，然后使用安全连接进行其他操作。

因此，回答原来的问题。除了主机名（我猜是端口）之外的所有内容在两个方向上都是安全的。

回复收藏 0 原文

忆沫 2024-10-09 08:50:08

整个请求都是加密的，包括 URL，甚至命令 (GET)。代理服务器等干预方可以收集的唯一信息是目标地址和端口。

但请注意，TLS 握手的客户端 Hello 数据包可以通过 < 以明文方式通告完全限定的域名em>SNI 扩展（感谢 @hafichuk），所有现代主流浏览器都使用该扩展，尽管有些浏览器仅在较新的操作系统上使用。

编辑：（因为这刚刚给我一个“好答案”徽章，我想我应该回答整个问题......）

整个响应也被加密；代理无法拦截其任何部分。

Google 通过 https 提供搜索和其他内容，因为并非所有内容都是公开的，并且您可能还想从 MITM。无论如何，最好让 Google 自己回答< /a>.

回复收藏 0 原文

陌上青苔 2024-10-09 08:50:08

URL 本身已加密，因此查询字符串中的参数不会以明文形式通过网络传输。

但是，请记住，包括 GET 数据的 URL 通常由网络服务器记录，而 POST 数据很少记录。因此，如果您打算执行类似 /login/?username=john&password=doe 的操作，那就不要这样做；请改用 POST。

回复收藏 0 原文

淡淡離愁欲言轉身 2024-10-09 08:50:08

HTTPS 在任何 HTTP 数据传输之前建立底层 SSL 连接
转移。这确保了所有 URL 数据（除了
主机名（用于建立连接）单独携带
在此加密连接内，并受到保护
中间人攻击的方式与任何 HTTPS 数据相同。

以上是来自 Google 问答的非常全面的答案的一部分，位于此处：

http ://answers.google.com/answers/threadview/id/758002.html#answer

回复收藏 0 原文

七堇年 2024-10-09 08:50:08

安全发送主机名之后的 URL 部分。

例如，
https://somewhere.com/index.php?NAME=FIELD

/index.php?NAME=FIELD 部分已加密。 somewhere.com 则不然。

回复收藏 0 原文

猥琐帝 2024-10-09 08:50:08

所有内容都已加密，但您需要记住，您的查询将保留在服务器日志中，并且可以被各种日志分析器等访问（POST 请求通常不是这种情况）。

回复收藏 0 原文

败给现实 2024-10-09 08:50:08

在传输请求之前，连接会被加密。所以是的，请求也被加密，包括查询字符串。

回复收藏 0 原文

白云悠悠 2024-10-09 08:50:08

我刚刚通过 HTTPS 连接到一个网站并传递了一堆 GET 参数。然后我使用wireshark来嗅探网络。使用 HTTP，URL 未加密发送，这意味着我可以轻松查看 URL 中的所有 GET 参数。使用 HTTPS，一切都被加密，我什至看不到哪个数据包是 GET 命令，更不用说它的内容了！

回复收藏 0 原文

随心而道 2024-10-09 08:50:08

是的，它是安全的。 SSL 加密一切。

POST 请求摘录：

POST /foo HTTP/1.1
... some other headers

GET 请求摘录：

GET /foo?a=b HTTP/1.1
... some other headers

在这两种情况下，在套接字上发送的任何内容都是加密的。客户端在 GET 请求期间在浏览器中看到参数这一事实并不意味着中间人也会看到相同的内容。

Yes, it is secure. SSL encrypts everything.

Excerpt from POST request:

POST /foo HTTP/1.1
... some other headers

Excerpt from GET request:

GET /foo?a=b HTTP/1.1
... some other headers

In both cases whatever is sent on the socket is encrypted. The fact that the client sees parameters in his browser during a GET request doesn't mean that a man in the middle would see the same.

回复收藏 0 原文

忆沫 2024-10-09 08:50:08

SSL 发生在标头解析之前，这意味着：

Client creates Request
Request gets encrypted
Encrypted request gets transmitted to the Server
Server decrypts the Request
Request gets parsed

请求看起来像这样（不记得确切的语法，但这应该足够接近）：

GET /search?q=qwerty HTTP/1.1
Host: www.google.de

这也是为什么同一 IP 上的多个主机拥有不同的 SSL 证书的原因是有问题的，所请求的主机名在解密之前是未知的。

The SSL takes place before the header parsing, this means:

Client creates Request
Request gets encrypted
Encrypted request gets transmitted to the Server
Server decrypts the Request
Request gets parsed

A Request looks something like this (can't remember the exact syntax, but this should be close enough):

GET /search?q=qwerty HTTP/1.1
Host: www.google.de

This is also why having different SSL Certificates for several hosts on the same IP are problematic, the requested Hostname is not known until decryption.

回复收藏 0 原文

~没有更多了~