Skip to content
Prywatność i bezpieczeństwo

Czy strony trzecie mogą odczytać pełny adres URL podczas przeglądania przez HTTPS?

8 de lipiec de 2021
sshot514b407f6f624

Kiedy bezpiecznie odwiedzasz witrynę za pośrednictwem https://, dane przesyłane między serwerem a przeglądarką są szyfrowane, ale co z adresami URL, które odwiedzasz w witrynie? Czy Twój dostawca usług internetowych lub obserwator z innej strony może zobaczyć, na co patrzysz?

Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn z pytaniami i odpowiedziami.

Pytanie

Anonimowy czytelnik SuperUser chce wiedzieć, czy ich sesje przeglądania są całkowicie bezpieczne:

Wszyscy wiemy, że HTTPS szyfruje połączenie między komputerem a serwerem, dzięki czemu nie może być oglądane przez osoby trzecie. Czy jednak dostawca usług internetowych lub strona trzecia może zobaczyć dokładny link do strony, do której wszedł użytkownik?

Na przykład odwiedzam:

https://www.website.com/data/abc.html

Czy dostawca usług internetowych będzie wiedział, że uzyskałem dostęp do */data/abc.html, czy po prostu będzie wiedział, że odwiedziłem adres IP www.website.com?

Jeśli wiedzą, to dlaczego Wikipedia i Google mają HTTPS, skoro ktoś może po prostu przeczytać dzienniki internetowe i dowiedzieć się, jakie treści przeglądał użytkownik?

Interesujące pytanie, które z pewnością ma wpływ na prywatność. Zbadajmy.

Odpowiedź

Współtwórca SuperUser Grawity oferuje bardzo zwięzły przegląd tego, w jaki sposób pełny adres URL jest przetwarzany po drodze:

Od lewej do prawej:

schemat https: jest oczywiście interpretowany przez przeglądarkę.

Nazwa domeny www.website.com jest rozwiązywany na adres IP za pomocą DNS. Twój dostawca usług internetowych zobaczymy żądanie DNS dla tej domeny i odpowiedź.

ścieżka /data/abc.html jest wysyłane w żądaniu HTTP. Jeśli używasz HTTPS, to zostanie zaszyfrowany wraz z resztą żądania i odpowiedzi HTTP.

ciąg zapytania ?this=that, jeśli występuje w adresie URL, jest wysyłany w żądaniu HTTP – wraz ze ścieżką. Więc jest również zaszyfrowany.

fragment #there, jeśli jest obecny, nie jest nigdzie wysyłany – jest interpretowany przez przeglądarkę (czasami przez JavaScript na zwróconej stronie).


Krótko mówiąc, wszystko na prawo od nazwy domeny jest zaszyfrowane przez sesję HTTPS i pozostaje niewidoczne dla Twojego dostawcy usług internetowych lub kogokolwiek innego podglądającego Twoje działania.

Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdzić pełny wątek dyskusji tutaj.

Czy ten post był pomocny?

Polecamy: Jak wyświetlić pełny adres URL strony internetowej w Safari?