Quando você está visitando um site com segurança via https: //, os dados enviados entre o servidor e seu navegador são criptografados, mas e os URLs que você está visitando no site? Seu ISP ou outro observador terceirizado pode ver o que você está vendo?
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
Um leitor de SuperUser anônimo deseja saber se suas sessões de navegação são completamente seguras:
Todos nós sabemos que o HTTPS criptografa a conexão entre o computador e o servidor para que não possa ser visualizado por terceiros. No entanto, o ISP ou um terceiro pode ver o link exato da página que o usuário acessou?
Por exemplo, eu visito:
https://www.website.com/data/abc.htmlO ISP saberá que acessei * / data / abc.html ou apenas saberá que visitei o IP de www.website.com?
Se eles sabem, por que a Wikipedia e o Google têm HTTPS quando alguém pode simplesmente ler os registros da Internet e descobrir o conteúdo exato que o usuário visualizou?
Uma pergunta interessante que certamente tem implicações para a privacidade pessoal. Vamos investigar.
A resposta
O contribuidor do SuperUser Grawity oferece uma visão geral muito concisa de como o URL completo é processado ao longo do caminho:
Da esquerda para a direita:
o esquema
https:é, obviamente, interpretado pelo navegador.o nome do domínio
www.website.comé resolvido para um endereço IP usando DNS. Seu ISP verá a solicitação de DNS para este domínio e a resposta.o caminho
/data/abc.htmlé enviado na solicitação HTTP. Se você usa HTTPS, será criptografado junto com o restante da solicitação e resposta HTTP.o string de consulta
? isso = aquilo, se estiver presente no URL, é enviado na solicitação HTTP - junto com o caminho. Portanto, também é criptografado.o fragmento
#lá, se presente, não é enviado a lugar nenhum - é interpretado pelo navegador (às vezes por JavaScript na página retornada).
Resumindo, tudo à direita do nome de domínio é criptografado pela sessão HTTPS e permanece invisível para o seu ISP ou qualquer outra pessoa que esteja espiando suas atividades.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Verificação de saída o tópico de discussão completo aqui .
