Сколько данных пропущено от соединения SSL?
Скажите, что я пытался получить доступ https://www.secretplace.com/really/really/secret.php, что на самом деле отправляется в простом тексте, прежде чем сессия SSL будет установлена?
Браузер вмешивается, видит, что я хочу https, инициирую сессию SSL с secretplace.com (т.е. не передавая путь в простом тексте) и только после того, как сессия SSL настраивается, передают путь?
Просто любопытный.
3 ответа
Степень защиты зависит от правильности реализации веб-браузера и серверного программного обеспечения, а также от поддерживаемых реальных криптографических алгоритмов.
Кроме того, HTTPS уязвим при применении к общедоступному статическому контенту. Весь сайт может быть проиндексирован с помощью веб-краулера, а URI зашифрованного ресурса можно узнать, зная только размер перехваченного запроса/ответа. Это позволяет злоумышленнику получить доступ к простому тексту (общедоступный статический контент), а также к зашифрованному тексту (зашифрованная версия статического контента), что позволяет осуществить криптографическую атаку.
Поскольку SSL работает ниже HTTP и не имеет знаний о протоколах более высокого уровня, SSL-серверы могут строго представлять только один сертификат для определенной комбинации IP/порта. Это означает, что в большинстве случаев невозможно использовать виртуальный хостинг с HTTPS на основе имен. Существует решение под названием Server Name Indication (SNI), которое отправляет имя хоста на сервер перед шифрованием соединения, хотя многие старые браузеры не поддерживают это расширение. Поддержка SNI доступна с Firefox 2, Opera 8 и Internet Explorer 7 на Windows Vista.
Ваш браузер отправляет запрос на адрес https: // url: 443 , и это ясно. Затем сервер и клиент согласовывают набор шифров для защиты данных. Обычно это будет включать в себя алгоритм симметричного шифрования (например, 3DES, RC4 или AES) и код аутентификации сообщения (например, HMAC-SHA1) для обнаружения взлома. Обратите внимание, что технически оба они являются необязательными, IS возможно использовать SSL без шифрования, но сегодня это маловероятно.
После того, как клиент (ваш браузер) и веб-сервер согласовали набор шифров и определены ключи, остальная часть диалога будет защищена.
Если честно, я бы подключил анализатор протоколов и смотрел, как все это разворачивается у вас на глазах !!
Помните, что SSL находится на транспортном уровне стека TCP / IP, ниже данных браузера, поэтому все они защищены.
Надеюсь, что это поможет.
Как правило, происходит утечка имени сервера, с которым вы разговариваете ("stackoverflow.com"). Вероятно, это произошло через DNS до того, как SSL / TLS смог начать подключение.
Утечка сертификата сервера. Любой клиентский сертификат, который вы отправили (не обычная конфигурация), мог быть или не быть отправлен в открытом виде. Активный злоумышленник (человек посередине), вероятно, может просто запросить это у вашего браузера и все равно получить.
Часть URL-адреса («/ questions / 2146863 / how-much-data-is-leaked-from-ssl-connection») НЕ должна пропускаться. Он передается зашифрованным и безопасным (при условии, что клиент и сервер настроены правильно и вы не просмотрели какие-либо ошибки сертификата).
Другой автор прав, что существуют возможные атаки анализа трафика, которые могут быть в состоянии вывести некоторые вещи о статическом контенте. Если сайт очень большой и динамичный (скажем, stackoverflow.com), я подозреваю, что получить на нем много полезной информации будет довольно сложно. Однако, если есть только несколько файлов разного размера, то, какие загрузки могут быть очевидны.
ЗАПРЕЩАЕТСЯ утечка данных POST формы. Хотя обычные предостережения применимы, если вы передаете объекты известных размеров.
Временные атаки могут раскрыть некоторую информацию. Например, злоумышленник может задействовать различные части приложения (например, определенную таблицу базы данных) или предварительно загрузить некоторые статические файлы с диска и посмотреть, как ваше соединение замедляется или ускоряется в ответ.
Это информационная «утечка», но, вероятно, не имеет большого значения для большинства сайтов.