HTTPS ইউআরএল এনক্রিপ্ট করা হয়?

1015

টিএলএস / এসএসএল (এইচটিটিপিএস) এনক্রিপশন ব্যবহার করার সময় কি সমস্ত ইউআরএল এনক্রিপ্ট করা আছে? আমি জানতে চাই কারণ আমি চাই যে টিএলএস / এসএসএল (এইচটিটিপিএস) ব্যবহার করার সময় সমস্ত URL ডেটা লুকানো থাকে।

যদি টিএলএস / এসএসএল আপনাকে মোট ইউআরএল এনক্রিপশন দেয় তবে আমাকে ইউআরএল থেকে গোপনীয় তথ্য গোপন করার বিষয়ে চিন্তা করার দরকার নেই।

ssl  https  httprequest 
ড্যানিয়েল কিভাটিনোস
সূত্র
76
ইউআরএলটিতে যেভাবেই হোক গোপনীয় ডেটা রাখা সম্ভবত একটি খারাপ ধারণা। এটি ব্রাউজারের ঠিকানায় খারাপ প্রদর্শিত হবে, মনে আছে? লোকেরা এটি পছন্দ করে না যদি তাদের পাসওয়ার্ড স্ক্রিনে এক নজরে দেখা যায় এমন কারও কাছে দৃশ্যমান হয়। আপনি কেন ইউআরএল এ গোপনীয় তথ্য রাখবেন বলে মনে করেন?
জলফ
43
ইউআরএলগুলি ব্রাউজারের ইতিহাস এবং সার্ভার লগগুলিতেও সঞ্চিত থাকে - আমি যদি আমার নাম এবং পাসওয়ার্ড কোথাও সঞ্চয় করতে চাইতাম তবে এটি দুটি জায়গায় থাকত না।
পিসকভোর
47
উদাহরণস্বরূপ, ধরুন আমি পরিদর্শন করেছি https://somewhere_i_trust/ways_to_protest_against_the_government/। তারপরে ইউআরএলটিতে গোপনীয় তথ্য রয়েছে, যথা: আমি আমার সরকারের বিরুদ্ধে প্রতিবাদ করার বিষয়টি বিবেচনা করছি।
স্টিভ জেসোপ
42
নেটিভ (ব্রাউজার ভিত্তিক নয়) অ্যাপ্লিকেশন থেকে এইচটিটিপি অনুরোধ করার সময় আমি নিজেকে এই প্রশ্নটি করছি। আমি অনুমান করছি এটি মোবাইল অ্যাপ বিকাশকারীদের আগ্রহী হতে পারে। এই ক্ষেত্রে, উপরের মন্তব্যগুলি (সত্য হলেও) অপ্রাসঙ্গিক (কোনও ইউআরএল দৃশ্যমান নয়, কোনও ব্রাউজিংয়ের ইতিহাস নয়), উত্তরটি তৈরি করে আমার বোঝার পক্ষে একটি সহজ: "হ্যাঁ, এটি এনক্রিপ্টড"।
ড্যানিএ
23
যারা একবারে এইচটিটিপিএস ভাবেন তাদের জন্য আপনি কোথায় যাচ্ছেন তা কেউ জানে না, প্রথমে এটি পড়ুন: সার্ভারের হোস্ট-নেম (উদাহরণস্বরূপ ডটকম) এখনও এসএনআই-এর কারণে ফাঁস হবে । এটি ডিএনএসের সাথে একেবারেই করার মতো নয় এবং আপনি ডিএনএস ব্যবহার না করে বা এনক্রিপ্টড ডিএনএস ব্যবহার না করলেও ফাঁস দেখা দেবে।
পেসারিয়ার

উত্তর:

911

হ্যাঁ, এসএসএল সংযোগটি টিসিপি স্তর এবং এইচটিটিপি স্তরের মধ্যে রয়েছে। ক্লায়েন্ট এবং সার্ভার প্রথমে একটি সুরক্ষিত এনক্রিপ্টড টিসিপি সংযোগ স্থাপন করবে (এসএসএল / টিএলএস প্রোটোকলের মাধ্যমে) এবং তারপরে ক্লায়েন্ট এই এনক্রিপ্ট হওয়া টিসিপি সংযোগের উপরে HTTP অনুরোধ (জিইটি, পোস্ট, মোছা ...) প্রেরণ করবে।

মার্ক নোভাকোভস্কি
সূত্র
98
@ জালফ যে প্রশ্নটি উল্লেখ করেছেন তা নিজেই প্রশ্নটির মন্তব্যে লক্ষ করার মতো। ইউআরএল ডেটা ব্রাউজারের ইতিহাসেও সংরক্ষণ করা হবে যা দীর্ঘমেয়াদী অনিরাপদ হতে পারে।
মাইকেল একস্ট্র্যান্ড
20
শুধু GET বা POST নয়। ডিলেট, পুট, হেড বা ট্র্যাকও হতে পারে।
4
হ্যাঁ এটি কোনও ব্রাউজারের ইতিহাসের জন্য সুরক্ষা সমস্যা হতে পারে। তবে আমার ক্ষেত্রে আমি ব্রাউজারটি ব্যবহার করছি না (মূল পোস্টটিতে কোনও ব্রাউজারের উল্লেখ নেই)। নেটিভ অ্যাপ্লিকেশনটিতে পর্দার পিছনে একটি কাস্টম https কল ব্যবহার করা। আপনার অ্যাপ্লিকেশনটির সেভার সংযোগ সুরক্ষিত আছে তা নিশ্চিত করার এটি একটি সহজ সমাধান।
জিঙ্গল-ডিংল
28
তবে নোট করুন যে URL- এর DNS সমাধান সম্ভবত এনক্রিপ্ট করা নেই। সুতরাং আপনার ট্র্যাফিককে স্মিগ করে এমন কেউ হয়তো এখনও আপনি যে ডোমেনটি অ্যাক্সেস করার চেষ্টা করছেন তা দেখতে পাবে।
চিউটয়
21
এসএনআই ইউআরএলগুলির এসএসএল এনক্রিপশনের 'হোস্ট' অংশটি ভেঙে দেয়। আপনি ওয়্যারশার্ক দিয়ে নিজে এটি পরীক্ষা করতে পারেন। এসএনআইয়ের জন্য একজন নির্বাচক রয়েছে, বা আপনি যখন রিমোট হোস্টের সাথে সংযুক্ত হন তখন আপনি কেবল আপনার এসএসএল প্যাকেটগুলি পর্যালোচনা করতে পারেন।
সেমিউস
652

যেহেতু কেউ তারের ক্যাপচার সরবরাহ করেনি, তাই এখানে।
সার্ভারের নাম (ইউআরএল এর ডোমেন অংশ) ClientHelloপ্লেটে, সরল পাঠ্যে উপস্থাপন করা হয়েছে ।

নিম্নলিখিতটিতে একটি ব্রাউজারের অনুরোধ দেখায়:
https://i.stack.imgur.com/path/?some=parameters&go=here

ক্লায়েন্টহেলো এসএনআই টিএলএস সংস্করণ ক্ষেত্রগুলির জন্য আরও এই উত্তরটি দেখুন (এর মধ্যে 3 টি রয়েছে - সংস্করণ নয়, প্রতিটি ক্ষেত্রে সংস্করণ নম্বর রয়েছে এমন ক্ষেত্রগুলি!)

Https://www.ietf.org/rfc/rfc3546.txt থেকে :

3.1। সার্ভার নাম ইঙ্গিত

[টিএলএস] কোনও ক্লায়েন্টের সাথে যে সার্ভারটির সাথে যোগাযোগ করা হচ্ছে তার নাম জানাতে কোনও ব্যবস্থা সরবরাহ করে না। একক অন্তর্নিহিত নেটওয়ার্ক ঠিকানায় একাধিক 'ভার্চুয়াল' সার্ভার হোস্ট করে এমন সার্ভারগুলিতে সুরক্ষিত সংযোগের সুবিধার্থে ক্লায়েন্টদের পক্ষে এই তথ্য সরবরাহ করা বাঞ্ছনীয় হতে পারে।

সার্ভারের নাম সরবরাহ করার জন্য, ক্লায়েন্টদের MAY (বর্ধিত) ক্লায়েন্ট হ্যালোতে "সার্ভার_নাম" টাইপের একটি এক্সটেনশন অন্তর্ভুক্ত রয়েছে।


সংক্ষেপে:

  • FQDN (url এর ডোমেইন অংশ) পারে প্রেরণ করা স্পষ্ট মধ্যে ভিতরে ClientHelloপ্যাকেট যদি sni এক্সটেনশন ব্যবহার করা হয়

  • অনুরোধ URL টি এইচটিটিপি জিনিস (ওএসআই স্তর 7) হওয়ায় বাকী ইউআরএল ( /path/?some=parameters&go=here) এর কোনও ব্যবসায়ের অভ্যন্তরীণ অবস্থান নেই ClientHello, সুতরাং এটি টিএলএস হ্যান্ডশেক (স্তর 4 বা 5) এ কখনই প্রদর্শিত হবে না। যা পরে একটি উপর আসবে GET /path/?some=parameters&go=here HTTP/1.1HTTP অনুরোধ, পরে নিরাপদ TLS এর চ্যানেল স্থাপন করা হয়।


নির্বাহী সারসংক্ষেপ

ডোমেন নাম হতে পারে স্পষ্টভাবে প্রেরণ করা হবে (যদি এসএনআই এক্সটেনশনটি টিএলএস হ্যান্ডশেকটিতে ব্যবহৃত হয়) তবে ইউআরএল (পথ এবং পরামিতি) সর্বদা এনক্রিপ্ট করা থাকে।


মার্চ 2019 আপডেট

এটিকে সামনে আনার জন্য কার্লিন.স্কটকে ধন্যবাদ ।

এসএনআই এক্সটেনশনে পেডলোড এখন এই খসড়া আরএফসি প্রস্তাবের মাধ্যমে এনক্রিপ্ট করা যাবে । এই ক্ষমতাটি কেবল টিএলএস 1.3 এ বিদ্যমান (বিকল্প হিসাবে এবং এটি প্রয়োগের জন্য এটি উভয় প্রান্তের উপর নির্ভরশীল) এবং টিএলএস 1.2 এবং এর নীচে কোনও পিছনের সামঞ্জস্য নেই।

ক্লাউডফ্লেয়ার এটি করছে এবং আপনি এখানে ইন্টার্নালগুলি সম্পর্কে আরও পড়তে পারেন - ডিমের আগে মুরগি অবশ্যই আসতে হবে তবে মুরগি কোথায় রাখবেন?

অনুশীলনে এর অর্থ হ'ল এফকিউডিএনকে সরল পাঠ্যে (ওয়্যারশার্ক ক্যাপচার শোয়ের মতো) সঞ্চারিত করার পরিবর্তে এখন এটি এনক্রিপ্ট করা হয়েছে।

দ্রষ্টব্য: এটি বিপরীত ডিএনএস লুপ দেখাতে পারে যেহেতু অভিযুক্ত গন্তব্য হোস্টটি যেভাবে প্রকাশ করতে পারে সেহেতু এটি সুরক্ষার চেয়ে গোপনীয়তার দিকটিকে বেশি সম্বোধন করে।

evilSnobu
সূত্র
37
এ থেকে জেড পর্যন্ত সম্পূর্ণ ব্যাখ্যা সহ নির্ভুল উত্তর the আমি কার্যনির্বাহী সারাংশটি পছন্দ করি। আমার দিনটি তৈরি করেছেন @ivilSnobu
oscaroscar
4
নিখুঁত উত্তর, upvote! ব্রাউজারের ইতিহাসটি ফাঁস হতে পারে বলে ক্লায়েন্ট অংশটি এখনও বিবেচনা করুন। তবে পরিবহন স্তর সম্পর্কিত, ইউআরএল-পরামিতিগুলি এনক্রিপ্ট করা আছে।
জেনস ক্রেইডলার
2
আপনি এই উত্তরটি টিএলএস 1.3 এসএনআই এক্সটেনশানটি এনক্রিপ্ট করে এই সত্যটির সাথে আপডেট করতে চাইতে পারেন এবং বৃহত্তম সিডিএন কেবল এটি করছে: ব্লগএক্লাউডফ্লেয়ার . com / encrypted-sni অবশ্যই একটি প্যাকেট স্নিফার কেবল একটি বিপরীত- ডিএনএস লকআপ করতে পারে আপনি যে আইপি অ্যাড্রেসের সাথে সংযুক্ত রয়েছেন।
carlin.scott
@evilSnobu, তবে ব্যবহারকারীর নাম: ব্যবহারকারীর নামটির পাসওয়ার্ড অংশ : password@domain.com এনক্রিপ্ট করা আছে, তাই না? সুতরাং https ব্যবহার করে url এ সংবেদনশীল ডেটা পাস করা সুরক্ষিত।
মাকসিম শামিহুলাউ
1
এগুলি তারে (পরিবহণে) এ এনক্রিপ্ট করা আছে তবে যদি শেষ হয় (ব্যবহারকারী বা সার্ভার) সরল পাঠ্য ফাইলে URL টি লগ ইন করে এবং শংসাপত্রগুলি স্যানিটাইজ করে না ... এখন এটি অন্যরকম কথোপকথন।
অ্যাস্নোবু
159

অন্যান্য উত্তর যেমন ইতিমধ্যে চিহ্নিত করেছে, https "ইউআরএল" সত্যই এনক্রিপ্ট করা আছে। যাইহোক, ডোমেন নামটি সমাধান করার সময় আপনার ডিএনএস অনুরোধ / প্রতিক্রিয়া সম্ভবত না হয় এবং অবশ্যই আপনি যদি ব্রাউজার ব্যবহার করেন তবে আপনার ইউআরএলগুলিও রেকর্ড করা হতে পারে।

জাচ স্ক্রিভেনা
সূত্র
21
এবং ইউআরএল রেকর্ডিং গুরুত্বপূর্ণ কারণ জাভাস্ক্রিপ্ট হ্যাকগুলি রয়েছে যা একটি সম্পূর্ণ সম্পর্কযুক্ত সাইটকে কোনও পরীক্ষিত URL আপনার ইতিহাসে আছে কিনা তা পরীক্ষা করার অনুমতি দেয়। আপনি এটিতে দীর্ঘকালীন এলোমেলো স্ট্রিং যুক্ত করে কোনও ইউআরএলকে অনিবার্য করে তুলতে পারেন, তবে এটি যদি সর্বজনীন ইউআরএল হয় তবে আক্রমণকারী বলতে পারে যে এটি পরিদর্শন করা হয়েছে, এবং যদি এটির মধ্যে একটি ছোট গোপনীয়তা থাকে, তবে আক্রমণকারী আক্রমণাত্মকভাবে আঘাত করতে পারে যুক্তিসঙ্গত গতিতে।
স্টিভ জেসপ
8
@ স্টিভ জেসোপ, দয়া করে "জাভাস্ক্রিপ্ট হ্যাকগুলিতে
পেসারিয়ার
6
@Pacerier: অবশ্যই হ্যাক তারিখ, কিন্তু কি আমি এ সময় ভালো জিনিস ছিল বলছিলেন stackoverflow.com/questions/2394890/... । ২০১০ সালে এই বিষয়গুলি তদন্ত করা হয়েছিল এবং আক্রমণগুলি সংশোধন করা খুব বড় বিষয় ছিল, তবে আমি এই মুহূর্তে সত্যই এটি অনুসরণ করছি না।
স্টিভ জেসোপ
2
@ পেসারিয়র: আরও উদাহরণ: ওয়েবদেবউন্ডার্স . com
স্টিভ জেসপ
1
এটি এনক্রিপ্ট করা ডিএনএস পরিষেবা দিয়ে আপনি ওপেনডিএনএস ব্যবহার করতে পারেন। আমি এটি আমার ম্যাকটিতে ব্যবহার করি, তবে আমি উইন্ডোজ সংস্করণটি ঠিকমতো কাজ করছে না। এটি যদিও কিছুক্ষণ আগে ছিল, সুতরাং এটি এখন ঠিক কাজ করতে পারে। লিনাক্সের জন্য এখনও কিছুই নেই। opendns.com/about/innovations/dnscrypt
এসপিআরবিএনএন
101

সম্পূর্ণ অনুরোধ এবং প্রতিক্রিয়া URL সহ এনক্রিপ্ট করা হয়েছে।

মনে রাখবেন যে আপনি যখন এইচটিটিপি প্রক্সি ব্যবহার করেন, এটি লক্ষ্য সার্ভারের ঠিকানা (ডোমেন) জানে তবে এই সার্ভারে অনুরোধ করা পথটি (যেমন অনুরোধ এবং প্রতিক্রিয়া সর্বদা এনক্রিপ্টড থাকে) জানে না।

পিটার btibraný
সূত্র
1
অনুরোধটির সম্পূর্ণতা। হোস্ট নাম পরিষ্কার পাঠানো হয়। অন্য সমস্ত এনক্রিপ্ট করা হয়।
স্যাম সিরি
98

আমি পূর্ববর্তী উত্তরগুলির সাথে একমত:

স্পষ্ট করে বলা:

টিএলএস সহ, ইউআরএলটির প্রথম অংশটি ( https://www.example.com/ ) এটি সংযোগ তৈরি করার সাথে এখনও দৃশ্যমান। দ্বিতীয় অংশটি (/ এখানেআরমেগেটামিটার / 1/2/3/4) টিএলএস দ্বারা সুরক্ষিত।

তবে আপনি জিইটি অনুরোধে পরামিতি স্থাপন না করার জন্য অনেকগুলি কারণ রয়েছে।

প্রথমত, অন্যদের দ্বারা ইতিমধ্যে উল্লিখিত হিসাবে: - ব্রাউজারের ঠিকানা বারের মাধ্যমে ফুটো - ইতিহাসের মাধ্যমে ফাঁস le

এইচটিপি রেফারারের মাধ্যমে আপনার ইউআরএল ফাঁস করা ছাড়াও: ব্যবহারকারী টিএলএস-তে সাইট এ দেখেন, তারপরে বি বিতে একটি লিঙ্ক ক্লিক করেন, উভয় সাইট টিএলএসে থাকলে, বি বি সাইটের অনুরোধটি সাইটের এ-এর পুরো URL টি ধারণ করবে অনুরোধের রেফারার পরামিতি। এবং সাইট বি থেকে প্রশাসক এটিকে সার্ভার বি এর লগ ফাইলগুলি থেকে পুনরুদ্ধার করতে পারে)

Tobias
সূত্র
3
@ এজেপি আপনি টোবিয়াস কী বলছেন তা বুঝতে পারেন নি। তিনি বলছেন যে আপনি যদি সাইটের A তে একটি লিঙ্ক ক্লিক করেন যা আপনাকে সাইট বি এ নিয়ে যায়, তবে সাইট বি রেফারারের ইউআরএল পাবে। উদাহরণস্বরূপ, আপনি যদি সাইটের A.com?u=username&pw=123123থাকেন তবে সাইটবি ডটকম (যা সাইটএ ডটকমের পৃষ্ঠায় লিঙ্কযুক্ত) রেফারেন্স হিসাবে " সাইটএ ডটকম? ইউজারনেম&pw=123123 " পাবেন ইউআরএল, ব্রাউজার দ্বারা HTTPS এর ভিতরে সাইটবি.কম প্রেরণ করা হয়েছে। এটি যদি সত্য হয় তবে তা খুব খারাপ। এটা কি সত্য টোবিয়াস?
trusktr
9
@ ইজেপি, এসএনআই-এর কারণে ডোমেনটি দৃশ্যমান যা সমস্ত আধুনিক ওয়েব ব্রাউজার ব্যবহার করে। এছাড়াও ইএফএফ থেকে এই চিত্রটি দেখান যে আপনি যে সাইটটি পরিদর্শন করছেন যে কেউ যে ডোমেনটি দেখতে পাবে। এটি ব্রাউজারের দৃশ্যমানতার বিষয়ে নয়। এটি শ্রবণশক্তিদের কাছে কী দৃশ্যমান তা সম্পর্কে।
বুগ
10
@trusktr: ব্রাউজারগুলি এইচটিটিপিএস পৃষ্ঠা থেকে একটি রেফার শিরোনাম প্রেরণ করা উচিত নয়। এটি এইচটিটিপি নির্দিষ্টকরণের অংশ
মার্টিন গিজলার 14
8
@ মার্টিনজিসর, কীওয়ার্ডটি "উচিত" " ব্রাউজারগুলি "উচিত" সম্পর্কে খুব বেশি যত্ন করে না ("আবশ্যক" এর বিপরীতে)। আপনার নিজের লিঙ্কটি থেকে: "দৃ strongly়ভাবে প্রস্তাব দেওয়া হয়েছে যে ব্যবহারকারী রেফারার ক্ষেত্রটি প্রেরণ করা হয়েছে কিনা তা নির্বাচন করতে সক্ষম হন। উদাহরণস্বরূপ, ব্রাউজার ক্লায়েন্টের কাছে খোলাখুলি / বেনামে ব্রাউজ করার জন্য একটি টগল সুইচ থাকতে পারে, যা যথাক্রমে প্রেরণটি সক্ষম / অক্ষম করবে would রেফারার এবং তথ্য থেকে " । ওপস, যা ক্রোম ঠিক তাই করেছিল। আপনি ছদ্মবেশী মোডে থাকলেও ক্রোম রেফারারটি ফাঁস করে ।
পেসারিয়ার
48

মার্ক নোভাকোভস্কি থেকে সহায়ক উত্তরের সাথে যুক্ত - ইউআরএল সার্ভারের লগগুলিতে সংরক্ষণ করা হয় (যেমন, / etc / httpd / লগগুলিতে / এসএসএল_একসেস_লগ), তাই আপনি যদি সার্ভারটি দীর্ঘ সময় ধরে তথ্য বজায় রাখতে না চান শব্দটি, এটি ইউআরএলে রাখবেন না।

রোদরি কুস্যাক
সূত্র
34

হ্যা এবং না.

সার্ভারের ঠিকানা অংশটি এনক্রিপ্ট করা হয়নি কারণ এটি সংযোগ স্থাপনের জন্য ব্যবহৃত হয়।

এটি ভবিষ্যতে এনক্রিপ্ট হওয়া এসএনআই এবং ডিএনএস দিয়ে পরিবর্তিত হতে পারে তবে 2018 পর্যন্ত উভয় প্রযুক্তিই সাধারণত ব্যবহৃত হয় না।

পাথ, ক্যোয়ারিং স্ট্রিং ইত্যাদি এনক্রিপ্ট করা আছে।

জিইটি অনুরোধগুলির জন্য দ্রষ্টব্য, ব্যবহারকারী এখনও অবস্থান বারের বাইরে ইউআরএলটি কেটে ফেলতে সক্ষম হবে এবং আপনি সম্ভবত সেখানে গোপনীয় তথ্য রাখতে চান না যা পর্দার দিকে তাকানো যে কেউ দেখতে পাবে।

প্রচারযন্ত্র
সূত্র
8
এটি +1 করতে চাই তবে আমি "হ্যাঁ এবং না" বিভ্রান্তিমূলক খুঁজে পেয়েছি - আপনার এটি পরিবর্তন করা উচিত যে ঠিক উল্লেখ করতে যে সার্ভার নামটি এনক্রিপশন ছাড়াই ডিএনএস ব্যবহার করে সমাধান করা হবে।
লরেন্স ডল
7
আমার বোঝার মধ্যে, ওপি ইউআরএল শব্দটি সঠিক অর্থে ব্যবহার করে। আমি মনে করি এই উত্তরটি আরও বিভ্রান্তিমূলক, কারণ এটি স্পষ্টভাবে ডিএনএস রেজোলিউশনে ইউআরএলে হোস্টনাম এবং হোস্টনামের মধ্যে পার্থক্য তৈরি করে।
গিলাইম
4
ইউআরএল এনক্রিপ্ট করা আছে। HTTP লেনদেনের প্রতিটি দিক এনক্রিপ্ট করা হয়। শুধু 'সব কিছু' নয়। সময়কাল। -1।
ব্যবহারকারী 207421
4
@ এজেপি কিন্তু ডিএনএস লুপ ইউআরএল এর এক বিন্দুতে যা ব্যবহার করে তাই অ প্রযুক্তিগত ব্যক্তির কাছে পুরো ইউআরএল এনক্রিপ্ট করা হয় না। নন-টেকনিক্যাল ব্যক্তি যিনি কেবলমাত্র গুগল ডটকমকে নন-টেকনিক্যাল জিনিসগুলি সন্ধান করার জন্য ব্যবহার করছেন তা জানেন না ডেটা শেষ পর্যন্ত কোথায় থাকে বা কীভাবে এটি পরিচালনা করা হয়। ডোমেন, যা ব্যবহারকারী ইউআরএল-এর URL এর অংশ, এটি 100% এনক্রিপ্ট করা হয়নি কারণ আক্রমণকারী হিসাবে আমি কোন সাইটটি ঘুরে দেখছি তা শুঁকতে পারে। কেবলমাত্র একটি URL- এর / পথটি স্বাভাবিকভাবেই সাধারণ ব্যক্তিকে এনক্রিপ্ট করা হয় (এটি কীভাবে তা বিবেচনা করে না)।
trusktr
6
@ ইজেপি, @ ট্রাসকিট্র, @ লরেন্স, @ গিলিয়াম। আপনারা সবাই ভুল হয়ে গেছেন। ডিএনএসের সাথে এর কোনও যোগসূত্র নেই। এসএনআই " টিএলএস আলোচনার অংশ হিসাবে ভার্চুয়াল ডোমেনের নামটি প্রেরণ করে ", তাই আপনি ডিএনএস ব্যবহার না করে বা আপনার ডিএনএস এনক্রিপ্ট করা থাকলেও কোনও স্নিফার আপনার অনুরোধের হোস্ট - নেম দেখতে পাবে
পেসারিয়ার
9

কোনও তৃতীয় পক্ষ যা ট্র্যাফিক নিরীক্ষণ করছে আপনার সাইটটি দেখার সময় অন্য ব্যবহারকারীর ট্র্যাফিকের সাথে তুলনা করে আপনার ট্র্যাফিকের পরীক্ষা করে এটি পরিদর্শন করা পৃষ্ঠাটি নির্ধারণ করতে সক্ষম হতে পারে। উদাহরণস্বরূপ, যদি কেবল কোনও সাইটে 2 পৃষ্ঠাগুলি থাকে, যা অন্যটির চেয়ে অনেক বড়, তবে ডেটা ট্রান্সফারের আকারের তুলনা আপনাকে কোন পৃষ্ঠাটিতে পরিদর্শন করেছে তা বলবে। এটি তৃতীয় পক্ষ থেকে লুকানো হতে পারে এমন উপায় রয়েছে তবে সেগুলি সাধারণ সার্ভার বা ব্রাউজারের আচরণ নয়। উদাহরণস্বরূপ সায়ারেট থেকে এই কাগজটি দেখুন, https://scirate.com/arxiv/1403.0297

সাধারণভাবে অন্যান্য উত্তরগুলি সঠিক, যদিও এই কাগজটি দেখায় যে পরিদর্শন করা পৃষ্ঠাগুলি (অর্থাত্ ইউআরএল) বেশ কার্যকরভাবে নির্ধারণ করা যেতে পারে।

pbhj
সূত্র
এটি কেবলমাত্র খুব ছোট সাইটগুলিতে সম্ভব হবে এবং এই ক্ষেত্রে সাইটটির থিম / টোন / প্রকৃতি সম্ভবত প্রতিটি পৃষ্ঠায় একই রকম হবে।
ক্যামেরন
5
উদ্ধৃতি দিয়েছিলাম: "আমরা স্বাস্থ্যসেবা, ফিনান্স, আইনী পরিষেবাদি এবং স্ট্রিমিং ভিডিওর মতো অঞ্চলে 10-টি ব্যাপকভাবে ব্যবহৃত, শিল্প-নেতৃস্থানীয় ওয়েবসাইটগুলির এইচটিটিপিএস মোতায়েনকারী 6000 টিরও বেশি ওয়েবপৃষ্ঠার বিরুদ্ধে একটি ট্র্যাফিক বিশ্লেষণ আক্রমণ উপস্থাপন করছি Our আমাদের আক্রমণটি পৃথক পৃষ্ঠাগুলিকে চিহ্নিত করে 89% নির্ভুলতার সাথে একই ওয়েবসাইট [...] "। সম্ভাব্যতা হিসাবে আপনার সিদ্ধান্তটি ভুল বলে মনে হচ্ছে।
pbhj
2
এই ধরণের দুর্বলতা সম্পর্কে আরও পড়তে আগ্রহী যে কারও জন্য, এই ধরণের আক্রমণগুলি সাধারণত পার্শ্ব-চ্যানেল আক্রমণ হিসাবে চিহ্নিত করা হয় ।
ড্যান বেচার্ড
7

আপনি সর্বদা সম্পূর্ণ URL এর গোপনীয়তার উপর নির্ভর করতে পারবেন না। উদাহরণস্বরূপ, যেমন কখনও কখনও এন্টারপ্রাইজ নেটওয়ার্কগুলির ক্ষেত্রে হয়, আপনার সংস্থা পিসির মতো সরবরাহিত ডিভাইসগুলি একটি অতিরিক্ত "বিশ্বাসযোগ্য" মূল শংসাপত্র দিয়ে কনফিগার করা হয়েছে যাতে আপনার ব্রাউজারটি নিঃশব্দে https ট্র্যাফিকের একটি প্রক্সি (ম্যান-ইন-দ্য-মধ্য) পরিদর্শন করতে পারে । এর অর্থ সম্পূর্ণ URL টি পরিদর্শন করার জন্য উন্মুক্ত। এটি সাধারণত একটি লগ সংরক্ষণ করা হয়।

তদুপরি, আপনার পাসওয়ার্ডগুলিও উন্মুক্ত এবং সম্ভবত লগইন হয়েছে এবং এটি একটি সময় পাসওয়ার্ড ব্যবহার করার জন্য বা আপনার পাসওয়ার্ডগুলি ঘন ঘন পরিবর্তন করার অন্য কারণ another

অবশেষে, অনুরোধ এবং প্রতিক্রিয়া সামগ্রীটি অন্যথায় এনক্রিপ্ট না করা হলে প্রকাশ করা হবে।

পরিদর্শন সেটআপের একটি উদাহরণ এখানে চেকপয়েন্ট দ্বারা বর্ণিত হয়েছে । সরবরাহিত পিসি ব্যবহার করে একটি পুরানো শৈলীর "ইন্টারনেট ক্যাফে" এছাড়াও এইভাবে সেট আপ করা যেতে পারে।

ডন গিলিস
সূত্র
6

সদৃশ প্রশ্নের সাথে আমার উত্তরের সাথে লিঙ্ক করা । ব্রাউজারের ইতিহাসে কেবল ইউআরএলই পাওয়া যায় না, সার্ভার সাইড লগ হয় তবে এটি HTTP রেফারার শিরোনাম হিসাবে প্রেরণ করা হয় যা আপনি যদি তৃতীয় পক্ষের সামগ্রী ব্যবহার করেন, আপনার নিয়ন্ত্রণের বাইরের উত্সগুলিতে URL টি প্রকাশ করে।

JoshBerke
সূত্র
আপনার তৃতীয় পক্ষের কল সরবরাহ করা এইচটিটিপিএস পাশাপাশি হ'ল যদিও এটি কোনও সমস্যা নয়?
লিয়াম
3
এটি তৃতীয় পক্ষের শংসাপত্রের সাথে এনক্রিপ্ট করা হবে যাতে তারা ইউআরএলটি দেখতে পারে
জোশবার্ক
5

এটি এখন 2019 এবং টিএলএস ভি 1.3 প্রকাশিত হয়েছে। ক্লাউডফ্লেয়ারের মতে, এসএনআই টিএলএস ভি 1.3 এর জন্য এনক্রিপ্ট করা যেতে পারে। তো, আমি নিজেকে দুর্দান্ত বলেছি! আসুন দেখুন এটি ক্লাউডফ্লেয়ার.কম এর টিসিপি প্যাকেটের মধ্যে কীভাবে দেখায় তাই আমি ক্লাউডফ্লায়ার সার্ভারের প্রতিক্রিয়া থেকে একটি "ক্লায়েন্ট হ্যালো" হ্যান্ডশেক প্যাকেটটি পেয়েছিলাম ব্রাউজার হিসাবে গুগল ক্রোম এবং প্যাকেট স্নিফার হিসাবে ওয়্যারশার্ক ব্যবহার করে। ক্লায়েন্টের হ্যালো প্যাকেটের মধ্যে আমি এখনও সরল পাঠ্যে সার্ভারের নামটি পড়তে পারি।

এখানে চিত্র বর্ণনা লিখুন

সুতরাং, আপনি যা পড়তে পারেন সে সম্পর্কে সাবধান থাকুন কারণ এটি এখনও কোনও বেনামে সংযোগ নয়। ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি মিডওয়্যার কোনও ক্লায়েন্ট দ্বারা অনুরোধ করা প্রতিটি ডোমেন লগ করতে পারে।

সুতরাং দেখে মনে হচ্ছে এসএনআই-এর এনক্রিপশনের জন্য টিএলএসভি 1.3-এর সাথে কাজ করতে অতিরিক্ত বাস্তবায়ন প্রয়োজন

নিম্নলিখিত নিবন্ধটি ক্লাউডফ্লেয়ার দ্বারা সরবরাহিত এসএনআইয়ের এনক্রিপশনকে টিএলএসভি 1.3 এর অংশ হিসাবে বর্ণনা করেছে। তবে, ক্লাউডফ্লেয়ার ডট কম থেকে সমস্ত এইচটিপিএস ইউআরএল টিসিএস প্যাকেটের মধ্যে টিএলএস ভি 1.3 এর অধীনে সরল পাঠ্যে রয়েছে

[ https://blog.cloudflare.com/encrypted-sni/ আলোড়িত 3]

নিকোলাস গুরিনেট
সূত্র
"sni করতে এনক্রিপ্ট করা" - যে কী বিন্দু। ক্লাউডফ্লেয়ার.এসএসএল /encrypted-sni বর্তমান গুগল ক্রোমের সাথে পরীক্ষা করে বলা হয়েছে "আপনার পৃষ্ঠাটি দেখার জন্য আপনার ব্রাউজারটি এসএনআই এনক্রিপ্ট করেনি।"
টাঙ্গোতে দু'একটা
স্পষ্টতই বর্তমান ফায়ারফক্স ESNI করতে পারে, তবে এটি ডিফল্টরূপে অক্ষম করা হয়েছে: আপনাকে সক্ষম করতে হবে network.security.esni.enabled, network.trr.mode2 এ সেট করতে হবে (এটি বর্তমানে আপনার ডোএইচ সমাধানকারীকে ক্লাউডফ্লেয়ারে সেট করে), এবং ব্রাউজারটি পুনরায় চালু করতে হবে (sic!); তারপরে এটি ESNI ব্যবহার করবে - যেখানে ডোমেনের অবকাঠামো দ্বারা সমর্থিত। বিশদ জানতে ব্লগ.মোজিলা.অর্গ.সিকিউরিটি / ২০১৮ / 10/18 / । দেখুন।
পিসকভোর
3

হ্যা এবং না.

আসল ইউআরএল এনক্রিপ্ট করা হয়েছে যার অর্থ আপনি যে কোনও ওয়েবসাইট পরিদর্শন করেছেন সেখানে সঠিক ওয়েবপেজটি কেউ বলতে পারেনি। তবে, টিএলএস শিরোনামটিতে আপনি যে সার্ভার অ্যাক্সেস করছেন তার হোস্টনাম (যেমন www.quora.com) এনক্রিপ্ট করা নেই। ডিএনএস প্রায় কখনও এনক্রিপ্ট করা হয় না এবং আপনার অ্যাক্সেস করা হোস্টনামটি ফাঁস করে দেয়। এই ডিএনএস ক্যোয়ারীটি প্রায়শই ডিফল্টরূপে আপনার আইএসপির সার্ভারগুলির বিরুদ্ধে থাকে, সুতরাং তারা আপনার ডিএনএস অনুরোধগুলি অন্য ডিএনএস সার্ভারগুলিতে স্নিগ্ধ করে বা তাদের নিজের বিপরীতে রেকর্ড করে আপনার অ্যাক্সেস করা প্রতিটি ওয়েবসাইটের হোস্টনামটি সহজেই দেখতে পায়।

যাইহোক, যদি আপনার উদ্বেগটি হয় যে আপনি কোন ওয়েবসাইটটি অ্যাক্সেস করছেন তা কেউ খুঁজে পেতে পারে কিনা তা যথেষ্ট নয়। এইচটিটিপিএস ওএসআই লেয়ার 4 এ পরিচালনা করে এবং সেই স্তরের সমস্ত ডেটা এনক্রিপ্ট করে, তবে নীচের স্তরগুলি নেটওয়ার্ক বহন করে যেগুলি বহন করে। এখনও কেউ OSI স্তর 3 এ ট্র্যাফিকের পথ এবং গন্তব্য সন্ধান করতে পারে This এর অর্থ হল আপনার ট্রাফিককে স্নিগ্ধ করা কেউ আইপি ঠিকানা এবং এক্সটেনশনের মাধ্যমে আপনি যে ওয়েবসাইটটি অ্যাক্সেস করছেন তার ডোমেন নামটি খুঁজে পেতে পারে।

সবচেয়ে খারাপ, প্রথমবার (এবং তারপরে কিছু সময়, আপনার / ডিএনএস ক্যাশে কীভাবে / কখন সাফ করা হবে তার উপর নির্ভর করে) আপনি সম্ভবত আপনার ডিএনএস সার্ভারের যা-ই হোক না কেন আপনার এইচটিটিপিএস লক্ষ্য URL এর আইপি ঠিকানার জন্য অনুরোধ করার জন্য একটি এনক্রিপ্ট করা ডিএনএস ক্যোয়ারী প্রেরণ করবেন (আবার, সাধারণত আপনার আইএসপির সার্ভারগুলি ডিফল্ট করুন) আপনার ডিএনএস সার্ভারের পথে আপনার ট্র্যাফিকের অ্যাক্সেস সহ যে কেউ এই কোয়েরিটি স্নিগ্ধ করতে পারবেন।

আপনি যদি উচ্চ মানের গোপনীয়তার সন্ধান করে থাকেন তবে আপনাকে বিশ্বস্ত এনক্রিপ্ট করা ভিপিএন এবং / অথবা এনক্রিপ্টড প্রক্সি পরিষেবা দিয়ে HTTPS সরবরাহ করতে হবে। আপনার ডিএনএস অনুসন্ধানগুলি সুরক্ষিত করতে আপনি DNSSEC এও দেখতে পারেন। এই পরিষেবাটি অবশ্যই বিশ্বাসযোগ্য হতে হবে, কারণ তারা আপনার ট্র্যাফিকের উত্স এবং গন্তব্যগুলির উপরের ট্রেসিংটি সহজেই সম্পাদন করতে পারে।

হিমাংশু প্যাটেল
সূত্র
2

ইতিমধ্যে এখানে বেশ কয়েকটি ভাল উত্তর রয়েছে বলে ধরে নেওয়া হয়েছে, তাদের বেশিরভাগ ব্রাউজার নেভিগেশনে ফোকাস করছেন। আমি এটি 2018 সালে লিখছি এবং সম্ভবত কেউ মোবাইল অ্যাপ্লিকেশনগুলির সুরক্ষা সম্পর্কে জানতে চান।

মোবাইল অ্যাপ্লিকেশনগুলির জন্য , আপনি যদি অ্যাপ্লিকেশনের উভয় প্রান্তকে (সার্ভার এবং অ্যাপ্লিকেশন) নিয়ন্ত্রণ করেন তবে যতক্ষণ না আপনি সুরক্ষিত এইচটিটিপিএস ব্যবহার করেন । আইওএস বা অ্যান্ড্রয়েড শংসাপত্রটি যাচাই করবে এবং সম্ভাব্য এমআইএম আক্রমণগুলিকে প্রশমিত করবে (এটিই এই সমস্ত ক্ষেত্রে একমাত্র দুর্বল পয়েন্ট হবে)। আপনি এইচটিটিপিএস সংযোগের মাধ্যমে সংবেদনশীল ডেটা প্রেরণ করতে পারেন যা এটি পরিবহণের সময় এনক্রিপ্ট করা হবে । কেবলমাত্র আপনার অ্যাপ্লিকেশন এবং সার্ভারটি https এর মাধ্যমে প্রেরিত কোনও পরামিতি জানতে পারবে।

এখানে কেবলমাত্র "সম্ভবত" যদি ক্লায়েন্ট বা সার্ভারটি দূষিত সফ্টওয়্যার দ্বারা সংক্রামিত হয় তবে এটি https এ মোড়ানোর আগে ডেটা দেখতে পারে। তবে যদি কেউ এই ধরণের সফ্টওয়্যার দ্বারা সংক্রামিত হয় তবে আপনি এটি পরিবহনে যা ব্যবহার করেন তা বিবেচনা না করেই তাদের ডেটাতে অ্যাক্সেস থাকবে।

রিকার্ডো বিআরজিওয়েব
সূত্র
1

অতিরিক্তভাবে, আপনি যদি একটি রিস্টফুল এপিআই তৈরি করে থাকেন তবে ব্রাউজার ফাঁস এবং এইচটিপি রেফারারের সমস্যাগুলি বেশিরভাগ ক্ষেত্রে প্রশমিত করা হয় কারণ ক্লায়েন্ট ব্রাউজার নাও হতে পারে এবং আপনার লিঙ্কে ক্লিক করার লোকেরা নাও থাকতে পারে।

যদি এটি হয় তবে আমি একটি বহনকারী টোকেন পেতে oAuth2 লগইন করার পরামর্শ দেব। এক্ষেত্রে একমাত্র সংবেদনশীল ডেটা হ'ল প্রাথমিক শংসাপত্র ... যা সম্ভবত কোনও পোস্টের অনুরোধে হওয়া উচিত

ক্রিস রুটলেজ
সূত্র
0

আপনার ইতিমধ্যে খুব ভাল উত্তর থাকা সত্ত্বেও, আমি সত্যিই এই ওয়েবসাইটটিতে ব্যাখ্যাটি পছন্দ করি: https://https.cio.gov/faq/# কি- তথ্য- does- https-protect

সংক্ষেপে: HTTPS টি লুকিয়ে ব্যবহার করে:

  • এইচটিটিপি পদ্ধতি
  • ক্যোয়ারী প্যারামগুলি
  • পোষ্ট বডি (উপস্থিত থাকলে)
  • অনুরোধ শিরোনাম (কুকিজ অন্তর্ভুক্ত)
  • স্থিতি কোড
pedrorijo91
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.