Xpoint
   [напомнить пароль]

Шифруются ли POST запросы с http на https

Метки: [без меток]
[удл]
2006-04-06 11:16:54 [обр] GRAy(0/259)[досье]
Предположим на странице с урлом начинающимся на http есть форма в action которой урл начинается с https, что в таком случае происходит при сабмите? Шифруются ли данные формы прежде чем отправиться на сервер и почему в такой ситуации LiveHTTP headers продолжают показывать данные в незашифрованом виде? Так и должно быть?
спустя 12 минут [обр] Роман Чемисов(0/327)[досье]
GRAy[досье]
LiveHTTPHeaders прав. Данные не шифруются.
спустя 23 минуты [обр] GRAy(0/259)[досье]
Что же делать? ;(
спустя 14 минут [обр] arto(1/494)[досье]
а должны.
спустя 18 минут [обр] GRAy(0/259)[досье]
Насколько я понимаю весь этот процесс: браузер, сначала, формирует http запрос, потом устанавливает соединение с сервером по протоколу https (это значит что он ещё посылает серверу ключ которорым тот сможет зашифровать ответ), сервер выдаёт ему ключ сессии с помощью которого надо будет шифровать запрос, после этого браузер запихивает запрос в соединение (где-то тут данные шифруются серверным ключом) ждёт ответ и расшифровывает его своим закрытым ключом и наконец рисует страничку пользователю. LiveHHTPHeaders же, судя по всему, встроен в этой цепочке где-то между формированием запроса и установлением соединения, поэтому видит незашифрованные данные... хм, не гут. А как на 100% убедиться что эти данные не видны больше никакому приложению?
спустя 6 часов [обр] Старынин Валерий(0/57)[досье]
браузер делает ..., сервер выдаёт ему ключ сессии ... , после этого браузер запихивает запрос в соединение (где-то тут данные шифруются серверным ключом) ждёт ответ и расшифровывает его своим закрытым ключом.

Т.е. браузер получает ключ и шифрует/расшифровывает.

LiveHHTPHeaders же, судя по всему, встроен в этой цепочке где-то между формированием запроса и установлением соединения, поэтому видит незашифрованные данные... хм, не гут.

Т.е. внутри браузера? Не уверен... Вы сами себе противоречите.

спустя 50 минут [обр] GRAy(0/259)[досье]
Старынин Валерий[досье] Не понял где?
спустя 16 часов [обр] Ярослав Сюзёв (yara)(0/305)[досье]

GRAy[досье]

А как на 100% убедиться что эти данные не видны больше никакому приложению?

Посмотреть снифером сетевой трафик.

спустя 12 часов [обр] Владимир Палант(49/4445)[досье]

Роман Чемисов[досье]
Ну и откуда вы черпаете сведения, которые с такой уверенностью провозглашаете?

GRAy[досье]
Конечно, данные передаются по протоколу HTTPS, то есть шифруются. Но это шифрование только TCP-канала, а у самого клиента данные в расшифрованном виде — браузер ведь что-то показывает. Соответвенно LiveHTTPHeaders получает данные уже в расшифрованном виде, а какое-нибудь совсем уж постороннее приложение тоже может залезть в память браузера и вытащить оттуда расшифрованные данные. И тут вы ничего поделать не можете — сам браузер должен работать с расшифрованными данными.

спустя 1 день 17 часов [обр] GRAy(0/259)[досье]
Владимир Палант[досье] Ну в общем как я и думал... Спасибо.
Powered by POEM™ Engine Copyright © 2002-2005