Mat*_*hew 5 security ssl https
假设我试图访问https://www.secretplace.com/really/really/secret.php,在SSL会话建立之前实际上是以纯文本形式发送的?
浏览器是否介入,看到我想要https,发起与secretplace.com的SSL会话(即没有以纯文本形式传递路径)并且只有在设置SSL会话后才通过路径?
只是好奇.
保护级别取决于Web浏览器和服务器软件的实现的正确性以及支持的实际加密算法.
此外,HTTPS在应用于公共可用的静态内容时容易受到攻击.可以使用Web爬网程序对整个站点编制索引,并且可以通过仅知道截获的请求/响应大小来推断加密资源的URI.这允许攻击者访问明文(公共可用的静态内容)和加密文本(静态内容的加密版本),从而允许加密攻击.
由于SSL在HTTP下运行且不了解更高级别的协议,因此SSL服务器只能为特定的IP /端口组合严格提供一个证书.这意味着,在大多数情况下,使用基于名称的虚拟主机与HTTPS是不可行的.存在一种称为服务器名称指示(SNI)的解决方案,它在加密连接之前将主机名发送到服务器,尽管许多旧版浏览器不支持此扩展.自Windows Vista上的Firefox 2,Opera 8和Internet Explorer 7以来,支持SNI.
通常,您正在与之通信的服务器的名称被泄露("stackoverflow.com").但是,在SSL/TLS可以开始连接之前,这可能是通过DNS泄露的.
服务器的证书被泄露.您发送的任何客户端证书(不是通用配置)可能已经或可能未被明确发送.一个活跃的攻击者(中间人)可能只是向你的浏览器询问它并接收它.
不应泄露URL的路径部分("/ questions/2146863/how-much-data-is-leaked-from-ssl-connection").它通过加密和安全传递(假设客户端和服务器设置正确,并且您没有点击任何证书错误).
另一张海报是正确的,可能存在流量分析攻击,可能会推断出有关静态内容的一些内容.如果该站点非常大且动态(比如stackoverflow.com),我怀疑从中获取更多有用的信息可能非常困难.但是,如果只有少数文件具有独特的大小,那么下载可能是显而易见的.
表格POST数据不应泄露.虽然通常的警告适用于传输已知尺寸的物体.
定时攻击可能会泄露一些信息.例如,攻击者可能会对应用程序的各个部分(例如,某个数据库表)施加压力,或者从磁盘预加载一些静态文件,并观察连接速度是如何减慢或加速响应的.
这是一个信息"泄漏",但对大多数网站来说可能不是什么大问题.
| 归档时间: |
|
| 查看次数: |
1315 次 |
| 最近记录: |