HTTPS RFC का हवाला देते हुए:
जब TLS हैंडशेक समाप्त हो गया है। क्लाइंट पहला HTTP अनुरोध शुरू कर सकता है। सभी HTTP डेटा को टीएलएस "एप्लिकेशन डेटा" के रूप में भेजा जाना चाहिए।
अनिवार्य रूप से, सुरक्षित एसएसएल/टीएलएस चैनल पहले स्थापित किया गया है। केवल तब HTTP प्रोटोकॉल का उपयोग किया जाता है। यह HTTP शीर्षलेखों सहित SSL के साथ सभी HTTP ट्रैफ़िक की रक्षा करेगा (जिसमें यूआरएल और कुकीज़ शामिल हैं)।
हैंडशेक में जो दिखाई दे सकता है वह होस्ट नाम ही है, क्योंकि यह सर्वर प्रमाणपत्र में निहित है जो हैंडशेक में स्पष्ट रूप से दिखाई देगा (और गंतव्य आईपी पते को देखकर होस्ट नाम का अनुमान लगाना अक्सर आसान होता है वैसे भी)।
सर्वर नाम संकेत का उपयोग करते समय, अनुरोध किया गया होस्ट नाम संदेश में ClientHello
संदेश में भी दिखाना चाहिए। अन्यथा, सर्टिफिकेट से मेजबान नाम का अनुमान लगाने के लिए अस्पष्टता के लिए कुछ अस्पष्टता हो सकती है यदि प्रमाण पत्र एकाधिक होस्ट नामों के लिए मान्य है (उदा। एकाधिक विषय Alt नाम या वाइल्डकार्ड)। इस मामले में ग्राहक से DNS अनुरोध को सहेजने से हमलावर एक सुराग दे सकता है।
अन्य लोगों के उत्तरों और टिप्पणियों को पढ़ना, कुछ Referer
के बारे में मुद्दों का उल्लेख करते हैं (spec में r
खो गए हैं) और लॉग।
शेष संभावित कमजोर बिंदुओं में से एक है आप उपयोगकर्ता को यह लिंक देते हैं। यदि यह सादे HTTP पर प्रदत्त वेब पेज में एम्बेड किया गया है, तो कोई भी व्यक्ति जो उस पृष्ठ को पढ़ सकता है उसे देख पाएगा। आपको एचटीटीपीएस पर भी ऐसे पेज की सेवा करनी चाहिए। यदि आप उस लिंक को ई-मेल द्वारा भेजते हैं, तो मैं कहूंगा कि सभी दांव बंद हैं, क्योंकि मेल सर्वर शायद ही कभी अपने बीच कनेक्शन को एन्क्रिप्ट करते हैं और उपयोगकर्ता अक्सर बिना किसी एन्क्रिप्शन के अपने ई-मेल खाते तक पहुंच सकते हैं।
संपादित करें:
इसके अलावा, आप क्लाइंट प्रमाण पत्र प्रमाणीकरण का उपयोग कर रहे हैं, क्लाइंट प्रमाणपत्र दिखाई अगर यह प्रारंभिक हाथ मिलाना के दौरान बातचीत के जरिए किया जाता है हो जाएगा। यह वेबसाइट तक पहुंचने वाले उपयोगकर्ता का नाम रिसाव कर सकता है (प्रायः विषय डीएन में उपयोगकर्ता नाम होता है)। ग्राहक प्रमाण पत्र तब दिखाई नहीं देगा जब इसे फिर से बातचीत किए गए हैंडशेक के दौरान भेजा जाता है।
बस स्पष्ट करने के लिए (कुछ अन्य उत्तरों को देखकर)। आपकी समस्या बीच में छिपाने के बारे में है, है ना? क्या आप * अपने * लॉग्स को स्टोर करने के तरीके से चिंतित हैं (संभवतः आप इस सर्वर को चला रहे हैं)? – Bruno
संभावित डुप्लिकेट [क्या https यूआरएल एन्क्रिप्टेड हैं?] (Http://stackoverflow.com/questions/499591/are-https-urls-encrypted) – Gumbo