এইচটিটিপিএস শিরোনামগুলি এনক্রিপ্ট করা আছে?

598

এইচটিটিপিএস-এর মাধ্যমে ডেটা প্রেরণ করার সময়, আমি জানি যে সামগ্রীটি এনক্রিপ্ট করা আছে, তবে আমি শিরোনামগুলি এনক্রিপ্ট করা হয়েছে কিনা, বা কতটা শিরোনাম এনক্রিপ্ট করা হয়েছে সে সম্পর্কে মিশ্র উত্তরগুলি শুনি।

HTTPS এর কত হেডার হয় এনক্রিপ্ট করা?

জিইটি / পোষ্ট অনুরোধের ইউআরএল, কুকিজ ইত্যাদি সহ

— ড্যান হারবার্ট
সূত্র

9

এইচটিটিপিএসের ওপরে এইচটিটিপি শিরোনামগুলি এনক্রিপ্ট করা আছে, এবং এইচটিটিপি-সংকুচিত নয় (এমনকি দেহটি থাকলেও)। এটি তাদের বেস্ট

— নিল ম্যাকগুইগান

551

সম্পূর্ণ অনেক এনক্রিপ্ট করা হয় ^† - সব হেডার। এজন্য vhosts এ এসএসএল খুব ভাল কাজ করে না - আপনার একটি ডেডিকেটেড আইপি ঠিকানা প্রয়োজন কারণ হোস্ট শিরোনাম এনক্রিপ্ট করা আছে।

^† সার্ভার নাম আইডেন্টিফিকেশন (sni) মান মানে যে হোস্ট-নেম আপনি TLS ব্যবহার করে করছি এনক্রিপ্ট করা যাবে না। এছাড়াও, আপনি এসএনআই ব্যবহার করছেন বা না করুন, টিসিপি এবং আইপি শিরোনামগুলি কখনই এনক্রিপ্ট করা হয় না। (যদি সেগুলি হয় তবে আপনার প্যাকেটগুলি রাউটেবল হবে না))

— গ্রেগ
সূত্র

3

@ গ্রেগ, যেহেতু ভোস্ট গেটওয়ে অনুমোদিত, গেটওয়ে তাদের আন-এনক্রিপ্ট করতে পারে না, হোস্ট শিরোনামটি পর্যবেক্ষণ করতে পারে, তবে কোন হোস্টকে প্যাকেটগুলি প্রেরণ করতে হবে তা নির্ধারণ করতে পারে না?

— পেসারিয়ার

2

আফাইক ইউআরএল নিজেই এনক্রিপ্ট করা হয়নি।

— টেডি

4

@ টেড্ডু "ইউআরএল নিজেই এনক্রিপ্ট করা হয়নি" বলতে কী বোঝায়। এটি শিরোনামের অংশ হিসাবে এটি এনক্রিপ্ট করা আছে।

— দিমিত্রি পলুশকিন

1

যদি ফিডলার https যোগাযোগ ক্যাপচার করতে ব্যবহৃত হয় তবে এটি এখনও কিছু শিরোনাম প্রদর্শন করে, কেন? বিশেষত, যখন ইন্টারনেট সংযোগ কোনও প্রক্সির মাধ্যমে হয় যেখানে প্রমাণীকরণের প্রয়োজন হয়, এটি প্রথম প্রেরণে 407 পাওয়ার পরে অনুরোধটি প্রেরণ করা হলে এটি প্রক্সি-অনুমোদনের শিরোনামটি প্রদর্শন করে।

— বোচেন লিন

1

@ বোচেন একইভাবে পেগাসাস করেন। আপনি যদি এইচটিটিপিএস টানেলের উভয় প্রান্তে থাকেন তবে আপনি সমস্ত কিছু দেখতে পাবেন। একইভাবে আমি ব্রাউজার ডেভোলগুলিতে কিছু দেখতে পাচ্ছি।

— নাক্স

97

শিরোনামগুলি সম্পূর্ণ এনক্রিপ্ট করা আছে। 'ক্লিয়ার ইন' নেটওয়ার্কের উপর দিয়ে যাওয়া কেবলমাত্র তথ্য এসএসএল সেটআপ এবং ডি / এইচ কী এক্সচেঞ্জের সাথে সম্পর্কিত। এই এক্সচেঞ্জটি সাবধানতার সাথে নকশাকৃতভাবে শ্রবণশক্তিহীনদের কোনও কার্যকর তথ্য না দেওয়ার জন্য তৈরি করা হয়েছে এবং এটি হয়ে যাওয়ার পরে সমস্ত ডেটা এনক্রিপ্ট করা হয়।

— MDB
সূত্র

4

সমস্ত এসএসএল সেটআপ ডিএইচ জড়িত নয়

— ডরি

30

কিছুটা পেডেন্টিক হওয়ার জন্য: ক্লায়েন্ট এবং সার্ভারের আইপি ঠিকানা, সার্ভারের হোস্টনাম, এবং তাদের এসএসএল বাস্তবায়ন সম্পর্কিত সিগন্যালগুলি শ্রবণশক্তিচর্চায় কার্যকর এবং দৃশ্যমান।

— পুলি

66

পুরানো প্রশ্নের নতুন উত্তর, দুঃখিত। আমি ভেবেছিলাম আমি আমার 0 .02 যুক্ত করব

ওপি জিজ্ঞাসা করেছিল শিরোনামগুলি এনক্রিপ্ট করা হয়েছে কিনা।

তারা হ'ল ট্রানজিটে।

তারা নয়: যখন ট্রানজিটে নয়।

সুতরাং, আপনার ব্রাউজারের ইউআরএল (এবং শিরোনাম, কিছু ক্ষেত্রে) ক্যোরিস্ট্রিং (যা সাধারণত সবচেয়ে সংবেদনশীল বিবরণ ধারণ করে) এবং শিরোনামে কিছু বিশদ প্রদর্শন করতে পারে; ব্রাউজারটি কিছু শিরোনামের তথ্য (সামগ্রীর ধরণ, ইউনিকোড ইত্যাদি) জানে; এবং ব্রাউজারের ইতিহাস, পাসওয়ার্ড পরিচালনা, পছন্দসই / বুকমার্কস এবং ক্যাশেড পৃষ্ঠাগুলিতে কোয়েরিস্ট্রিং থাকবে। দূরবর্তী প্রান্তে সার্ভার লগগুলিতে ক্যোরিস্ট্রিংয়ের পাশাপাশি কিছু সামগ্রীর বিশদ থাকতে পারে।

এছাড়াও, URL টি সর্বদা সুরক্ষিত থাকে না: ডোমেন, প্রোটোকল এবং পোর্ট দৃশ্যমান - অন্যথায় রাউটারগুলি আপনার অনুরোধগুলি কোথায় প্রেরণ করতে হবে তা জানে না।

এছাড়াও, যদি আপনি কোনও এইচটিটিপি প্রক্সি পেয়ে থাকেন তবে প্রক্সি সার্ভারটি ঠিকানাটি জানে, সাধারণত তারা পুরো ক্যোয়ারস্ট্রিংটি জানেন না।

সুতরাং যদি ডেটাটি সরানো থাকে তবে এটি সাধারণত সুরক্ষিত থাকে। এটি ট্রানজিটে না থাকলে এটি এনক্রিপ্ট করা হয় না।

বাছাইয়ের জন্য নয়, শেষে ডেটাটিও ডিক্রিপ্ট করা হয় এবং ইচ্ছামত বিশ্লেষণ, পড়া, সংরক্ষণ, ফরোয়ার্ড, বা বাতিল করতে পারে। এবং, ম্যালওয়্যার উভয় প্রান্তে এসএসএল প্রোটোকল প্রবেশকারী ডেটাগুলির স্ন্যাপশট নিতে পারে (বা প্রস্থান করা) - যেমন (খারাপ) এইচটিটিপিএসের ভিতরে কোনও পৃষ্ঠার ভিতরে জাভাস্ক্রিপ্ট যা আত্মগোপনে লগিং ওয়েবসাইটগুলিতে http (বা https) কল করতে পারে (যেহেতু স্থানীয় হার্ডড্রাইভ অ্যাক্সেস থেকে প্রায়শই সীমাবদ্ধ এবং দরকারী নয়)।

এছাড়াও, এইচটিটিপিএস প্রোটোকলের অধীনে কুকিগুলি এনক্রিপ্ট করা হয় না। বিকাশকারীদের কুকিগুলিতে সংবেদনশীল ডেটা সঞ্চয় করতে ইচ্ছুক (বা সেই বিষয়ে অন্য কোথাও) তাদের নিজস্ব এনক্রিপশন প্রক্রিয়া ব্যবহার করা দরকার।

ক্যাশে হিসাবে, বেশিরভাগ আধুনিক ব্রাউজারগুলি এইচটিটিপিএস পৃষ্ঠাগুলি ক্যাশে করবে না, তবে এই সত্যটি এইচটিটিপিএস প্রোটোকল দ্বারা সংজ্ঞায়িত করা হয়নি, এটি এইচটিটিপিএসের মাধ্যমে প্রাপ্ত পৃষ্ঠাগুলি ক্যাশে না করার বিষয়ে নিশ্চিত হওয়া কোনও ব্রাউজারের বিকাশের উপর নির্ভর করে dependent

সুতরাং আপনি যদি প্যাকেট স্নিগিংয়ের বিষয়ে উদ্বিগ্ন হন তবে আপনি সম্ভবত ঠিক আছেন। তবে আপনি যদি ম্যালওয়্যার বা আপনার ইতিহাস, বুকমার্কস, কুকিজ, বা ক্যাশে দিয়ে পোকার বিষয়ে উদ্বিগ্ন হন তবে আপনি এখনও পানির বাইরে নন।

— অ্যান্ড্রু জেনিংস
সূত্র

20

আমি জানি ভাল উত্তরগুলি শীর্ষে রয়েছে তবে এটি আবার ত্রুটিযুক্ত তথ্য সন্নিবেশ করে । ডোমেনটি দৃশ্যমান নয় , যতক্ষণ না এসএনআই ব্যবহৃত হয়। প্রোটোকল, আইপি এবং টিসিপি ব্যতীত দৃশ্যমান নয় । আমি HTTP 1.1, SPDY বা HTTP2 ব্যবহার করছি কিনা তা আপনি বলতে পারবেন না। দুটি প্রান্তে যা দৃশ্যমান তা অপ্রাসঙ্গিক, কারণ এনক্রিপশনের লক্ষ্য বিষয়গুলি অদৃশ্য করা নয়, কেবলমাত্র বিশ্বস্ত পক্ষগুলিকে জিনিস দৃশ্যমান করা। সুতরাং শেষের পয়েন্টগুলি প্রশ্নটিতে অন্তর্ভুক্ত এবং আপনার উত্তরের প্রায় 2/3 অংশ সরানো যেতে পারে। প্রক্সি তথ্যটি হওয়া উচিত: আপনি যদি এইচটিটিপিএস প্রক্সি ব্যবহার করেন, তবে এতে সমস্ত কিছুর অ্যাক্সেস থাকতে পারে ।

— মেলভিন

6

আপনার লিঙ্কটি স্পষ্টতই বলেছে যে কুকিজ এনক্রিপ্ট করা হয়েছে: "দর্শনার্থীর সংযোগ এনক্রিপ্ট করা হয়েছে, ইউআরএল, কুকিজ এবং অন্যান্য সংবেদনশীল মেটাডেটাকে অস্পষ্ট করছে" "

— ডিলানইং

1

হা ঐটা ঠিক. ট্রানজিট চলাকালীন কুকিজগুলি এনক্রিপ্ট করা হয় তবে ব্রাউজারে পৌঁছানোর পরে সেগুলি এসএসএল প্রোটোকল দ্বারা এনক্রিপ্ট করা হয় না। কোনও বিকাশকারীর পক্ষে কুকি ডেটা এনক্রিপ্ট করা সম্ভব, তবে এটি এসএসএলের সুযোগের বাইরে।

— অ্যান্ড্রু জেনিংস

4

@ ডায়ালানইং এসএসএল = সুরক্ষিত সকেট স্তর; টিএলএস = পরিবহন স্তর সুরক্ষা। এনক্রিপশনটি সকেট (সংযোগ) স্তরে বা ট্রান্সপোর্ট পর্যায়ে অন্য কোনও উপায়ে রাখার জন্য নয় ডোমেন ডাটাবেস প্রতি ব্রাউজারে সংরক্ষণ করা।

— কৌতূহলী

@ উইগওয়াম সুরক্ষা সংবেদনশীল এইচটিটিপি কুকিজ প্রায় সর্বদা অস্বচ্ছ রেফারেন্স (সাধারণত এটি একটি ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী এলোমেলো নম্বর) প্রমাণীকরণের অধিবেশনগুলির সার্ভার ডাটাবেসে রেকর্ডের জন্য। যেমন অর্থহীন শনাক্তকারীকে এনক্রিপ্ট করা বেশিরভাগ ক্ষেত্রে অতিরিক্ত জটিলতা নিয়ে আসে।

— কৌতূহলী

53

HTTP সংস্করণ 1.1 একটি বিশেষ HTTP পদ্ধতি যুক্ত করেছে, সংযুক্ত - প্রয়োজনীয় প্রোটোকল হ্যান্ডশেক এবং ক্রিপ্টোগ্রাফিক সেটআপ সহ এসএসএল টানেল তৈরির উদ্দেশ্যে।
এর পরে নিয়মিত অনুরোধগুলি সমস্ত এসএসএল টানেল, শিরোনাম এবং বডি সহ অন্তর্ভুক্ত পাঠানো হবে।

— ক্ষুধিত
সূত্র

এসএসএল টানেল তৈরি করতে সংযোগটি কখন ব্যবহার করা হয়?

— কৌতূহলী

@curiousguy tools.ietf.org/html/rfc7231#section-4.3.6

— AVP

47

এসএসএল সহ এনক্রিপশনটি পরিবহন পর্যায়ে রয়েছে, সুতরাং এটি একটি অনুরোধ প্রেরণের আগে ঘটে।

সুতরাং অনুরোধের সমস্ত কিছুই এনক্রিপ্ট করা আছে।

— blowdart
সূত্র

যেহেতু এসএসএল ট্রান্সপোর্ট লেয়ারে স্থান নেয় এবং প্যাকেটে (শিরোনামে) গন্তব্য ঠিকানা নির্ধারিত হয় নেটওয়ার্ক লেয়ারে (যা ট্রান্সপোর্টের নীচে রয়েছে) হয়, তারপরে শিরোনাম কীভাবে এনক্রিপ্ট করা হয়?

— প্রীতেক জোশী

@ প্রোটেক জোশি, কারণ এইচটিটিপি শিরোনামগুলি অ্যাপ্লিকেশন স্তরে লাইভ থাকে এবং তাই ডিফল্টরূপে, নিম্ন / পূর্বপুরুষ স্তর এনক্রিপ্ট হওয়ার কারণে এনক্রিপ্ট করা হয়।

— অ্যাকোয়ারেল

40

এইচটিটিপিএস (এসটিএল ওভার এসএসএল) একটি এসএসএল টানেলের মাধ্যমে সমস্ত HTTP সামগ্রী প্রেরণ করে, তাই HTTP সামগ্রী এবং শিরোনামগুলি পাশাপাশি এনক্রিপ্ট করা হয়।

— , CMS
সূত্র

21

হ্যাঁ, শিরোনামগুলি এনক্রিপ্ট করা আছে। এটি এখানে লেখা আছে ।

এইচটিটিপিএস বার্তার সমস্ত কিছুই শিরোনাম সহ অনুরোধ / প্রতিক্রিয়া লোড এনক্রিপ্ট করা আছে।

— কী প্রেস
সূত্র

37

উইকিপিডিয়া কোন অনুমান নয়, যা আপনাকে উদ্ধৃত করা উচিত।

— অরণ মুলহোল্যান্ড

8

ইউআরএলটিও এনক্রিপ্ট করা আছে, আপনার কাছে কেবলমাত্র আইপি, পোর্ট এবং যদি এসএনআই, এনক্রিপ্ট না থাকা হোস্টের নাম থাকে।

— xxiao
সূত্র

এমনকি এসএনআই সমর্থিত না হলেও, এইচটিটিপি সংযোগগুলি বিরত রাখতে সক্ষম কোনও মধ্যস্থতাকারী প্রায়শই ডিএনএস প্রশ্নগুলিও পর্যবেক্ষণ করতে সক্ষম হবে (বেশিরভাগ বাধা ক্লায়েন্টের কাছে করা হয়, যেমন পাইরেটেড ইউজার রাউটারের মতো)। সুতরাং তারা ডিএনএসের নামগুলি দেখতে সক্ষম হবে।

— কৌতূহলী