Kunnen derden de volledige URL lezen bij het browsen via HTTPS?

kunnen-derde-partijen-de-volledige-url-lezen-bij-browsen-via-https foto 1
Wanneer u een website veilig bezoekt via https://, worden de gegevens die tussen de server en uw browser worden verzonden versleuteld, maar hoe zit het met de URL's die u binnen de site bezoekt? Kan uw ISP of een andere externe waarnemer zien waar u naar kijkt?

De vraag- en antwoordsessie van vandaag komt tot ons met dank aan SuperUser - een onderafdeling van Stack Exchange, een community-gedreven groep van Q&A-websites.

De vraag

Een anonieme SuperUser-lezer wil weten of zijn browsesessies volledig veilig zijn:



We weten allemaal dat HTTPS de verbinding tussen de computer en de server versleutelt, zodat deze niet door een derde partij kan worden bekeken. Kan de ISP of een derde partij echter de exacte link zien van de pagina die de gebruiker heeft bezocht?

Ik bezoek bijvoorbeeld:

|__+_|

Weet de ISP dat ik */data/abc.html heb geopend of weet alleen dat ik het IP-adres van www.website.com heb bezocht?

Als ze het weten, waarom hebben Wikipedia en Google dan HTTPS als iemand gewoon de internetlogboeken kan lezen en de exacte inhoud kan achterhalen die de gebruiker heeft bekeken?

Een interessante vraag die zeker implicaties heeft voor de persoonlijke levenssfeer. Laten we het onderzoeken.

Het antwoord

SuperUser-bijdrager Grawity biedt een zeer beknopt overzicht van hoe de volledige URL onderweg wordt verwerkt:

Van links naar rechts:

Het schema |__+_| wordt uiteraard geïnterpreteerd door de browser.

De domeinnaam |__+_| wordt omgezet naar een IP-adres met behulp van DNS. Uw ISP ziet het DNS-verzoek voor dit domein en het antwoord.

Het pad |__+_| wordt verzonden in het HTTP-verzoek. Als u HTTPS gebruikt, wordt het samen met de rest van het HTTP-verzoek en -antwoord versleuteld.

De querystring |_+_|, indien aanwezig in de URL, wordt samen met het pad in het HTTP-verzoek verzonden. Het is dus ook versleuteld.

Het fragment |_+_|, indien aanwezig, wordt nergens naartoe gestuurd - het wordt geïnterpreteerd door de browser (soms door JavaScript op de geretourneerde pagina).

Kortom, alles rechts van de domeinnaam wordt versleuteld door de HTTPS-sessie en blijft onzichtbaar voor uw ISP of iemand anders die meekijkt in uw activiteiten.