Gdybym złożyć zamówienie HTTPSJakie informacje są widoczne dla sniffera pakietów, który przechwycił pakiet HTTPS?
subdomain.example.com/api/login?mytoken=JLK90GFSSFGDS4GFRW0
wraz z przesłaniem cookie, można sniffer pakietów wiedzieć:
Jakie informacje są ogólnie szyfrowane, a co pozostało bez zmian dla pakietu HTTPS?
Wszystko oprócz nazwy hosta jest zaszyfrowane - więc w twoim przykładzie nazwa domeny i poddomena są w jasnym tekście, wszystko inne jest zaszyfrowane.
Aby uzyskać więcej informacji, zobacz Does SSL also encrypt cookies?.
[edytuj: początkowa wersja błędnie stwierdziła, że cały URL był w postaci zwykłego tekstu. http://en.wikipedia.org/wiki/Transport_Layer_Security wyjaśnia, że serwer i klient najpierw negocjują szyfrowanie, następnie pakiety HTTP warstwy aplikacji (z pełnym adresem URL) są wysyłane przez ten zaszyfrowany link.]
Zależy od typu sniffera http posługiwać się.
Na przykład używa specjalnego trybu karty sieciowej (przy użyciu biblioteki wincap) i zwykle nie może dekodować ruchu https (ale można dodać certyfikat serwera do wireshark, a to pozwoli Wireshark rozszyfrować https).
Z drugiej strony, HTTP Debugger Pro używa techniki pośredniej i może dekodować ruch 01 https://www.google.com/support.html. Ale musisz ręcznie zainstalować program HTTP Debugger Pro na swoim komputerze z uprawnieniami administratora.
Poniżej zrzut ekranu z protokołu HTTPS przy użyciu protokołu HTTP Debugger. Jak widać, zawiera wszystkie informacje o żądaniu/odpowiedzi.
część adresu URL jest szyfrowana, '/ api/zalogować? Mytoken = JLK90GFSSFGDS4GFRW0' jest szyfrowana. – Dpp
Rzeczywiście, masz rację, zaktualizowałem swoją odpowiedź. Dzięki. –