এইচটিটিপিএসের মাধ্যমে ব্রাউজ করার সময় কি ইউআরএলটি তৃতীয় পক্ষের দ্বারা পড়া যায়?


32

আমরা সবাই জানি যে এইচটিটিপিএস কম্পিউটার এবং সার্ভারের মধ্যে সংযোগটি এনক্রিপ্ট করে যাতে এটি কোনও তৃতীয় পক্ষের দ্বারা দেখা না যায়। তবে, আইএসপি বা তৃতীয় পক্ষের ব্যবহারকারী কীভাবে ব্যবহার করা পৃষ্ঠার সঠিক লিঙ্কটি দেখতে পাবে?

উদাহরণস্বরূপ, আমি পরিদর্শন করি

https://www.website.com/data/abc.html

আইএসপি কি জানবে যে আমি * / ডেটা / abc.html অ্যাক্সেস করেছি বা কেবল জানতে পারি যে আমি www.website.com এর আইপি পরিদর্শন করেছি?

যদি তারা জানে, তবে কেউ যখন কেবলমাত্র লগ লগ পড়তে এবং ব্যবহারকারীর দ্বারা দেখা সঠিক সামগ্রীটি খুঁজে পেতে পারে তখন কেন উইকিপিডিয়া এবং গুগলের এইচটিটিপিএস থাকবে?


7
ইঙ্গিত: আপনি যদি নিজের অ্যাকাউন্টটি নিবন্ধন না করেন, বিভিন্ন আইপি থেকে এই জায়গাটি দেখুন, এবং আপনার কুকি রাখবেন না, সুপার ব্যবহারকারীর অংশ নেওয়া হবে কিছুটা ... খণ্ডিত, যার অর্থ আপনি নিজের পোস্টে উত্তরও গ্রহণ করতে পারবেন না , বা মন্তব্য যুক্ত করুন। আমি আপনাকে এখানে একটি অ্যাকাউন্ট নিবন্ধন করার পরামর্শ দিচ্ছি।
slhck

উত্তর:


48

বাম থেকে ডানে:

স্কিমা https: , সম্ভবত, ব্রাউজার দ্বারা ব্যাখ্যা করা হয়।

ডোমেন নাম www.website.com ডিএনএস ব্যবহার করে একটি IP ঠিকানার সমাধান করা। আপনার ISP দেখতে হবে এই ডোমেনের জন্য DNS অনুরোধ, এবং প্রতিক্রিয়া।

পথ /data/abc.html HTTP অনুরোধ পাঠানো হয়। আপনি যদি এইচটিটিপিএস ব্যবহার করেন তবে এটি এইচটিটিপি র অবশিষ্ট অনুরোধ এবং প্রতিক্রিয়া সহ এনক্রিপ্ট করা হবে

কোয়েরি স্ট্রিং ?this=that , URL- উপস্থিত হলে, HTTP অনুরোধ পাঠানো হয় - একসঙ্গে পাথ উল্লেখ করুন। সুতরাং এটি এনক্রিপ্ট করা।

টুকরা #there (কখনও কখনও জাভাস্ক্রিপ্ট ফিরে পৃষ্ঠাতে দ্বারা) এটি ব্রাউজার ব্যাখ্যা নেই - খালি যদি থাকে, না কোন জায়গায় পাঠানো হয়।


3
আপনি ভুলে গিয়েছিলেন যে আধুনিক ব্রাউজারগুলি যা এসএনআই সমর্থন করে এমনকি এইচটিটিপিএস অনুরোধের জন্য সাধারণ পাঠ্যে হোস্টের নাম ঘোষণা করে।
মনস্টিওর

9
@ কুরিয়ান: যা কিছুটা গুরুত্বপূর্ণ, কারণ হোস্টের নামটি ইতিমধ্যে ডিএনএস দ্বারা "ঘোষণা" করা হয়েছে।
মাধ্যাকর্ষণ

2
@ কুরিয়ান: আইপি ঠিকানাটি অন্য উপায়ে অর্জিত হতে পারে তবে বাস্তবে এটি খুব কমই পাওয়া যায়। এবং এটি কীভাবে প্রকৃতপক্ষে ব্যবহৃত হয়েছে তা বিবেচনা না করে বিচ্ছিন্নতার মধ্যে একটি একক প্রোটোকল দেখে গুরুত্বপূর্ণ অংশগুলি মিস করার প্রবণতা রয়েছে।
জোচিম সৌর

নামগুলি সমাধান করার জন্য এবং প্রকৃত এইচটিটিপিএস সংযোগ স্থাপনের জন্য টর একই প্রস্থান নোড ব্যবহার করছে কিনা তা আমি জানি না different যদি এটি পৃথক নোড ব্যবহার করে, তবে এটি এখনও একমাত্র জায়গা যেখানে এসএনআই বিষয়টি বিবেচনা করবে।
মাধ্যাকর্ষণ

13

আইএসপি কেবলমাত্র জানতে পারবে যে আপনি যুক্ত আইপি ঠিকানাটি পরিদর্শন করেছেন www.website.com(এবং সম্ভবত ইউআরএল যদি আপনি তাদের ডিএনএস ব্যবহার করছেন এবং তারা বিশেষত ট্র্যাফিকের সন্ধান করছেন - যদি ডিএনএস কোয়েরি যদি না যায় তবে তারা তা দেখতে পাবেন না)।

(আমার সাথে এখানে কিছুটা সহ্য করুন - আমি উত্তরটি পাই))

HTTP প্রোটোকলটি যেভাবে কাজ করে তা কোনও পোর্টের সাথে সংযোগ স্থাপন করে (সাধারণত পোর্ট ৮০) এবং তারপরে ওয়েব ব্রাউজারটি সার্ভারে কোন পৃষ্ঠাটি চায় তা যোগাযোগ করে - সন্ধান করার জন্য একটি সাধারণ অনুরোধে http://www.sitename.com/url/of/site.htmlনিম্নলিখিত লাইনগুলি থাকবে:

GET /url/of/site.html HTTP / 1.1 পান
হোস্ট: www.sitename.com

এইচটিটিপিএস 443 পোর্ট ব্যতীত ঠিক একই জিনিসটি করে - এবং এটি পুরো টিসিপি সেশনটি (যেমন আপনি উদ্ধৃত বিটের উপরে উল্লিখিত সমস্ত কিছুই প্লাস প্রতিক্রিয়াটিকে একটি এসএসএল এনক্রিপ্ট করা সেশনে আবদ্ধ করে) - তাই আইএসপি ট্র্যাফিকের কোনও কিছুই দেখতে পায় না ( তবে তারা সাইটের আকারের উপর ভিত্তি করে এবং www.sitename.comপ্রথম উদাহরণে কোনও আইপি ঠিকানার সমাধান করার জন্য ডিএনএস লুআপের ভিত্তিতে কিছু আবিষ্কার করতে সক্ষম হতে পারে )।

অবশ্যই, যদি পৃষ্ঠায় এমবেড থাকা "ওয়েব বাগগুলি" থাকে তবে এটি "বিতরণকারীদের" তথ্য বিতরণকারীদের আপনি কী দেখছেন এবং আপনি কে সে সম্পর্কে ইঙ্গিত দিতে পারে - তেমনিভাবে, যদি আপনার বিশ্বাসের শৃঙ্খলাটি ভঙ্গ হয় তবে কোনও আইএসপি সম্পাদন করতে পারে একটি মাঝারি আক্রমণ। তাত্ত্বিকভাবে আপনার ব্যক্তিগত প্রান্ত থেকে শেষ এনক্রিপশন থাকার কারণটি হ'ল সিএ শংসাপত্রগুলি আপনার ব্রাউজারের সাথে বিতরণ করা। যদি কোনও আইএসপি বা সরকার হয় সিএ শংসাপত্র যুক্ত করতে পারে বা কোনও সিএ সমঝোতা করতে পারে - এবং উভয়ই অতীতে ঘটেছিল - আপনি আপনার সুরক্ষা হারাবেন। আমি বিশ্বাস করি যে এইচটিটিপিএসের ডেটা পড়ার জন্য চীনের গ্রেট ফায়ারওয়াল কার্যকরভাবে ম্যান-ইন-দি-মিডল আক্রমণ করে, তবে আমি যখন ছিলাম তখন থেকে এটি বেশ কিছুক্ষণ হয়ে গেছে।

আপনি নিজের সফ্টওয়্যারটির টুকরো পেয়ে সহজেই এটি পরীক্ষা করতে পারেন যা আপনার কম্পিউটারে প্রবেশ এবং ট্র্যাফিক ট্র্যাফিককে স্নিগ্ধ করবে। আমি বিশ্বাস করি ওয়ায়ারশার্ক নামে একটি নিখরচায় সফ্টওয়্যার আপনার জন্য এটি করবে।


0

আমি এটি মন্তব্য বা উপযুক্ত উত্তরটি নিশ্চিত কিনা তা নিশ্চিত নই, তবে আমি একটি সংযোজন ভাগ করতে চাই।

এখানে উত্তরগুলি কী হবে তা দেখায় । প্রশ্ন হল পারেন URL read.The উত্তর হতে যে হল হ্যাঁ, অথচ তা অপেক্ষাকৃত সম্ভাবনা কম।

একজন আক্রমণকারী (তৃতীয় পক্ষ) আপনার https ট্র্যাফিককে পুরোপুরি বিরত করতে পারে এবং নির্দিষ্ট ক্ষেত্রে আপনার সমস্ত অনুরোধগুলি পড়তে পারে। আরো জানতে, আমি আপনি পড়তে আমন্ত্রিত চাই MITM সেইসাথে SSLStrip । বোঝার জন্য প্রয়োজন হলে আমি আরও এই বিষয়ে যেতে পারি।

আপনার আইএসপি এটি উভয়ই করবে বলে আশা করা উচিত নয় কারণ এটি তাদের ব্যান্ডউইথের অপচয় হ'ল কারণ আপনি যদি সন্ধান এবং মামলা করতে চান তবে তাদের আরও হারাতে হবে। তবে আপনার প্রশ্নের আরও সুনির্দিষ্ট উত্তর কি এটি করা যায়? হ্যাঁ, যদিও আপনি কী গুগল করছেন বা উইকি-ইনগ করছেন তা দেখার পক্ষে কারও যথেষ্টই যত্ন নেই।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.