Може ли трети страни да прочетат пълния URL адрес при сърфиране чрез HTTPS?

Когато сигурно посещавате уебсайт чрез https: //, данните, изпратени между сървъра и браузъра ви, са криптирани, но какво да кажем за URL адресите, които посещавате в сайта? Може ли вашият интернет доставчик или друг наблюдател от трета страна да види това, което гледате?

Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

Въпроса

Анонимен четец от суперпотребител иска да знае дали сесиите им за сърфиране са напълно сигурни:

Всички знаем, че HTTPS криптира връзката между компютъра и сървъра, така че тя не може да бъде видяна от трета страна. Въпреки това, може ли доставчикът или трета страна да види точната връзка на страницата, до която потребителят е достигнал?

Например посещавам:

https://www.website.com/data/abc.html

Ще знаят ли ISP, че имам достъп до * / data / abc.html или просто знам, че съм посетил IP адреса на www.website.com?

Ако знаят, защо Уикипедия и Google имат HTTPS, когато някой може просто да чете интернет дневниците и да открие точното съдържание, което потребителят е видял?

Интересен въпрос, който със сигурност има значение за личната неприкосновеност. Нека разследваме.

Отговорът

Сътрудникът на SuperUser Grawity предлага много кратък преглед на начина, по който се обработва целият URL адрес:

От ляво на дясно:

Най- схема HTTPS: очевидно се тълкува от браузъра.

Най- име на домейн www.website.com е решен на IP адрес чрез DNS. Вашият интернет доставчик ще види DNS заявката за този домейн и отговорът.

Най- път /data/abc.html се изпраща в HTTP заявката. Ако използвате HTTPS, то ще бъдат криптирани заедно с останалата част от HTTP заявката и отговора.

Най- низ за заявка ?това, че =, ако присъства в URL адреса, се изпраща в HTTP заявката - заедно с пътя. Така че е криптиран.

Най- фрагмент #там, ако е налице, не се изпраща никъде - тълкува се от браузъра (понякога чрез JavaScript на върнатата страница).

Накратко, всичко вдясно от името на домейна се шифрова от сесията на HTTPS и остава невидимо за вашия доставчик на интернет или някой друг, който наднича във вашата дейност..

Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.