Apakah data POST dienkripsi melalui koneksi SSL?


13

Saya telah menyiapkan server web saya untuk menggunakan SSL (Saya menggunakan WAMP untuk skenario pementasan saya sebelum saya pindah ke server publik). Tujuan situs yang ada telah berhasil dan saya dapat menggunakan situs tersebut dari komputer jarak jauh menggunakan protokol HTTPS.

Kekhawatiran yang muncul dengan salah satu pengguna saya (penguji) adalah sehubungan dengan data POST. Dalam skenario pengujiannya, ia ada di lokasi di salah satu klien potensial kami, mengakses situs di belakang firewall perusahaan SANGAT pilih-pilih mereka (kami telah mengetahui bagaimana situs ini berlaku untuk AUP mereka, dan kami bersih). Dia menjalankan situs di FireFox menggunakan Firebug untuk memantau data POST dan GET. Pertanyaannya ada di sini:

Di jendela Firebug-nya, POST dan Respons dari XMLHTTPRequest kembali dalam teks biasa. Apakah itu karena dia yang memulai koneksi aman? Akankah data POST / Respons muncul di admin jaringan atau log?

Harap perhatikan bahwa maksud di sini bukan untuk menipu admin atau menghindari kebijakan; ini adalah aplikasi yang ditujukan untuk orang-orang di lokasi di berbagai lokasi yang perlu mengirimkan data sensitif. Penggunaan akan dikoordinasikan dengan setiap infrastruktur jaringan yang kami temui.


bahkan url dan querystring dienkripsi
Neil McGuigan

Sebagai tes sederhana dan penggunaan alat sniffing yang tepat, gunakan tshark / WireShark untuk memfilter berdasarkan http.request.uri dan Anda melihat ketika Anda bekerja dengan https tidak ada yang ditampilkan. Di sisi lain mengirim permintaan yang sama melalui http dan Anda melihat semuanya.
Maziyar

Jawaban:


20

Ya, data POST harus dienkripsi. Segala sesuatu dalam permintaan HTTP harus dienkripsi dalam percakapan SSL. Firebug mendapatkan informasinya setelah data SSL didekripsi oleh browser. Jika Anda ingin memastikan, gunakan sesuatu seperti Fiddler atau WebScarab sebagai proksi yang berada di antara keduanya meskipun Anda mungkin harus memainkan game agar mereka dapat bermain dengan baik dengan SSL. Berikut adalah halaman tentang cara mendekripsi lalu lintas HTTPS menggunakan Fiddler.


3
Jika Anda meragukan enkripsi sama sekali, lempar Wireshark pada klien dan hirup lalu lintas.
Evan Anderson

Saya memeriksa Fiddler dan membandingkan POSTS dan GETS antara HTTPS dan data HTTP dan memastikan bahwa POSTS dan GETS aman. Terima kasih!
Honus Wagner

@ Evan Apa yang harus saya cari di Wireshark?
Honus Wagner

3
@ Ronus: Anda mencari sampah :). Jika data tidak dienkripsi, Anda akan dapat melihatnya di Wireshark. Jika terenkripsi - Anda akan melihat data terenkripsi (tidak terbaca).
Cerah

1
@ Ronus: Wireshark adalah penganalisa paket sehingga dapat / akan menunjukkan kepada Anda semua paket yang datang melalui kabel. Anda memiliki kemampuan untuk melihat semua lalu lintas jaringan terlepas dari protokol tingkat aplikasi. Ada filter (termasuk satu untuk HTTP) yang memungkinkan Anda mempersempit segalanya agar lebih mudah melihat apa yang Anda cari.
squillman
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.