क्या HTTPS के माध्यम से ब्राउज़ करते समय URL को तीसरे पक्ष द्वारा पढ़ा जा सकता है?

हम सभी जानते हैं कि HTTPS कंप्यूटर और सर्वर के बीच कनेक्शन को एन्क्रिप्ट करता है ताकि इसे किसी तीसरे पक्ष द्वारा नहीं देखा जा सके। हालांकि, क्या ISP या कोई तीसरा पक्ष उस पेज का सटीक लिंक देख सकता है जिसे उपयोगकर्ता ने एक्सेस किया है?

उदाहरण के लिए, मैं यात्रा करता हूं

https://www.website.com/data/abc.html

क्या ISP को पता चल जाएगा कि मैंने * / data / abc.html एक्सेस किया है या सिर्फ यह जानता हूं कि मैंने www.website.com के आईपी का दौरा किया है?

यदि वे जानते हैं, तो विकिपीडिया और Google के पास HTTPS क्यों है जब कोई व्यक्ति केवल इंटरनेट लॉग पढ़ सकता है और उपयोगकर्ता द्वारा देखी गई सटीक सामग्री का पता लगा सकता है?

बाएं से दाएं:

स्कीमा https: , जाहिर है, ब्राउज़र द्वारा व्याख्या की है।

डोमेन नाम www.website.com DNS का उपयोग एक आईपी पता करने के लिए हल हो गई है। आपका ISP इस डोमेन और प्रतिक्रिया के लिए DNS अनुरोध देखेगा ।

पथ /data/abc.html HTTP अनुरोध में भेजा जाता है। यदि आप HTTPS का उपयोग करते हैं, तो इसे बाकी HTTP अनुरोध और प्रतिक्रिया के साथ एन्क्रिप्ट किया जाएगा ।

क्वेरी स्ट्रिंग ?this=that , यूआरएल में मौजूद हैं, HTTP अनुरोध में भेज दिया जाता है - एक साथ पथ के साथ। तो यह भी एन्क्रिप्टेड है।

टुकड़ा #there (कभी कभी जावास्क्रिप्ट लौटे पृष्ठ पर से) यह ब्राउज़र से व्याख्या है -, वर्तमान है, नहीं कहीं भी भेजा जाता है।

आईएसपी केवल आपको पता होगा कि आप www.website.com(और शायद URL का उपयोग कर रहे हैं, अगर आप उनके DNS का उपयोग कर रहे हैं और वे विशेष रूप से ट्रैफ़िक की तलाश कर रहे हैं - यदि DNS क्वेरी उस से नहीं जाएगी तो वे उसे नहीं देखेंगे)।

(यहां मेरे साथ थोड़ा सहन करें - मुझे जवाब मिलता है।)

जिस तरह से HTTP प्रोटोकॉल काम करता है वह एक पोर्ट (आमतौर पर पोर्ट 80) से कनेक्ट होता है और फिर वेब ब्राउज़र यह बताता है कि वह किस पेज पर सर्वर को चाहता है - देखने के लिए एक साधारण अनुरोध http://www.sitename.com/url/of/site.htmlमें निम्नलिखित लाइनें होंगी:

GET /url/of/site.html HTTP / 1.1
होस्ट: www.sitename.com

HTTPS पोर्ट 443 को छोड़कर बिल्कुल वैसा ही काम करता है - और यह पूरे टीसीपी सत्र को लपेटता है (यानी, सब कुछ जो आप उद्धृत बिट में प्रतिक्रिया से अधिक है) को SSL एन्क्रिप्टेड सत्र में देखते हैं - इसलिए ISP को कोई भी ट्रैफ़िक नहीं दिखता है ( लेकिन वे साइट के आकार के आधार पर कुछ अनुमान लगाने में सक्षम हो सकते हैं, और www.sitename.comपहली बार में एक आईपी पते पर हल करने के लिए DNS लुकअप )।

बेशक, यदि पृष्ठ में "वेब बग" अंतर्निहित हैं, तो यह सूचना वितरकों के "साझेदारों" को दे सकता है जो आप देख रहे हैं और जो आप हैं - इस बारे में संकेत देता है कि इसी तरह, यदि आपका विश्वास श्रृंखला टूट गई है, तो एक आईएसपी प्रदर्शन कर सकता है एक आदमी के बीच में हमला। सिद्धांत रूप में आपके पास निजी एंड-टू-एंड एन्क्रिप्शन हो सकता है, इसका कारण यह है कि आपके ब्राउज़र के साथ वितरित सीए प्रमाण पत्र हैं। यदि एक ISP या सरकार या तो CA प्रमाणपत्र जोड़ सकती है या CA समझौता कर सकती है - और दोनों अतीत में हुए हैं - आप अपनी सुरक्षा खो देते हैं। मेरा मानना ​​है कि द ग्रेट फायरवॉल ऑफ चाइना HTTPS डेटा को पढ़ने के लिए मैन-इन-द-मिडिल हमलों को प्रभावी ढंग से करता है, लेकिन जब से मैं वहां गया था, तब से कुछ समय हो गया है।

आप सॉफ्टवेयर के एक टुकड़े को प्राप्त करके अपने आप को आसानी से परख सकते हैं जो आपके कंप्यूटर में प्रवेश करने और छोड़ने वाले ट्रैफ़िक को सूँघेगा। मुझे विश्वास है कि Wireshark नामक एक मुफ्त सॉफ्टवेयर आपके लिए ऐसा करेगा।

मुझे यकीन नहीं है कि यह टिप्पणी या जवाब योग्य है, लेकिन मैं एक परिशिष्ट साझा करना चाहूंगा।

यहाँ उत्तर बताते हैं कि क्या होना चाहिए। सवाल यह है कि कर सकते हैं यूआरएल read.The जवाब है कि हां में है, हालांकि यह अपेक्षाकृत संभावना नहीं है।

एक हमलावर (तृतीय-पक्ष) आपके https ट्रैफ़िक को पूरी तरह से रोक सकता है और विशिष्ट मामलों के तहत आपके सभी अनुरोधों को पढ़ सकता है। अधिक जानने के लिए, मैंने आपको MITM और साथ ही SSLStrip पढ़ने के लिए आमंत्रित किया है । समझने के लिए यदि आवश्यक हो तो मैं इसमें जा सकता हूं।

आपको अपने ISP से यह उम्मीद नहीं करनी चाहिए कि यह दोनों ऐसा कर रहे हैं क्योंकि यह उनकी बैंडविड्थ की बर्बादी है, बल्कि इसलिए भी क्योंकि अगर आपको पता लगाना और मुकदमा करना है तो उन्हें हारना होगा। हालांकि आपके प्रश्न का अधिक सटीक उत्तर क्या यह किया जा सकता है? हां, हालांकि यह संभव नहीं है कि कोई भी यह देखने के लिए पर्याप्त परवाह करेगा कि आप क्या कर रहे हैं।