LINUX.ORG.RU

История изменений

Исправление sunny1983, (текущая версия) :

Давайте не будем углубляться в вопрос отслеживают провайдеры или нет (ну или админы, если корпоративным интернетом пользуешься), больше интересует вопрос возможно это или нет.

Смотря как происходят запросы. Если POST, то не видит. А вот если GET, то видит.

GET-запрос ведь имеет вид: 

GET https://google.com/?q=где+купить+наркоту HTTP/1.0\r\n
Вроде с одной стороны он абсолютно прозрачен, но с другой, разве этот текст не шифруется?

Server Name Indication (SNI) — расширение компьютерного протокола TLS, которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется, что позволяет злоумышленнику его перехватить.

Может я что не понимаю, но процесс рукопожатия - это разве не обмен SYN и SYN/ACK пакетами после которого идёт уже общение на языке прикладного уровня, то есть на языке HTTPS. То есть сразу после рукопожатия браузер скачивает SSL-сертификат, удостоверяет его подлиность и устанавливает с сервером шифрованный канал, по которому и будет пущен GET-запрос?

Исходная версия sunny1983, :

Давайте не будем углубляться в вопрос отслеживают провайдеры или нет (ну или админы, если корпоративным интернетом пользуешься), больше интересует вопрос возможно это или нет.

Смотря как происходят запросы. Если POST, то не видит. А вот если GET, то видит.

GET-запрос ведь имеет вид: 

GET https://google.com/?q=где+купить+наркоту
Вроде с одной стороны он абсолютно прозрачен, но с другой, разве этот текст не шифруется?

Server Name Indication (SNI) — расширение компьютерного протокола TLS, которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется, что позволяет злоумышленнику его перехватить.

Может я что не понимаю, но процесс рукопожатия - это разве не обмен SYN и SYN/ACK пакетами после которого идёт уже общение на языке прикладного уровня, то есть на языке HTTPS. То есть сразу после рукопожатия браузер скачивает SSL-сертификат, удостоверяет его подлиность и устанавливает с сервером шифрованный канал, по которому и будет пущен GET-запрос?