in

Les tiers peuvent-ils lire l’URL complète lors de la navigation via HTTPS?

Lorsque vous visitez un site Web en toute sécurité via https: //, les données envoyées entre le serveur et votre navigateur sont cryptées, mais qu’en est-il des URL que vous visitez sur le site? Votre FAI ou un autre observateur tiers peut-il voir ce que vous regardez?

La question

Un lecteur SuperUser anonyme souhaite savoir si ses sessions de navigation sont totalement sécurisées:

Nous savons tous que HTTPS crypte la connexion entre l’ordinateur et le serveur afin qu’elle ne puisse pas être vue par un tiers. Cependant, le FAI ou un tiers peut-il voir le lien exact de la page à laquelle l’utilisateur a accédé?

Par exemple, je visite:

https://www.website.com/data/abc.html

Le FAI saura-t-il que j’ai accédé à * / data / abc.html ou saura-t-il simplement que j’ai visité l’adresse IP de www.website.com?

S’ils le savent, pourquoi Wikipédia et Google ont-ils HTTPS alors que quelqu’un peut simplement lire les journaux Internet et découvrir le contenu exact que l’utilisateur a consulté?

Une question intéressante qui a certainement des implications pour la vie privée. Examinons.

La réponse

Le contributeur SuperUser Grawity offre un aperçu très concis de la façon dont l’URL complète est traitée en cours de route:

De gauche à droite:

La schéma https: est, évidemment, interprété par le navigateur.

La nom de domaine www.website.com est résolu en une adresse IP utilisant DNS. Votre FAI verra la requête DNS pour ce domaine et la réponse.

La chemin /data/abc.html est envoyé dans la requête HTTP. Si vous utilisez HTTPS, il sera crypté avec le reste de la requête et de la réponse HTTP.

La chaîne de requête ?this=that, s’il est présent dans l’URL, est envoyé dans la requête HTTP – avec le chemin. C’est donc également crypté.

La fragment #there, s’il est présent, n’est envoyé nulle part – il est interprété par le navigateur (parfois par JavaScript sur la page renvoyée).

En bref, tout ce qui se trouve à droite du nom de domaine est chiffré par la session HTTPS et reste invisible pour votre FAI ou toute autre personne qui regarde vos activités.

Avez-vous quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange férus de technologie? Check-out le fil de discussion complet ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sauvegardez vos logiciels basés sur Mozilla avec MozBackup

Sauvegardez vos logiciels basés sur Mozilla avec MozBackup

Comment contrôler un ordinateur distant en utilisant uniquement votre navigateur Web Chrome