Werden POST-Daten über eine SSL-Verbindung verschlüsselt?


13

Ich habe meinen Webserver für die Verwendung von SSL eingerichtet (ich verwende WAMP für mein Staging-Szenario, bevor ich es auf öffentliche Server verschiebe). Der Zweck der vorliegenden Site ist erfolgreich und ich kann die Site von Remotecomputern mit dem HTTPS-Protokoll aus verwenden.

Ein Anliegen, das bei einem meiner Benutzer (Tester) aufkam, betraf die POST-Daten. In seinem Testszenario ist er bei einem unserer potenziellen Kunden vor Ort und greift auf die Site hinter ihrer SEHR wählerischen Unternehmensfirewall zu (wir haben bereits herausgefunden, wie diese Site auf ihre AUP angewendet wird, und wir sind sauber). Er führt die Site in FireFox mit Firebug aus, um die POST- und GET-Daten zu überwachen. Die Frage ist hier:

In seinem Firebug-Fenster werden der POST und die Antwort von XMLHTTPRequest im Klartext zurückgegeben. Liegt das daran, dass er die sichere Verbindung initiiert hat? Werden die POST- / Antwortdaten den Netzwerkadministratoren oder -protokollen angezeigt?

Bitte beachten Sie, dass es hier nicht darum geht, Administratoren zu täuschen oder Richtlinien zu umgehen. Dies ist eine Anwendung, die für Personen vor Ort an verschiedenen Standorten gedacht ist, die sensible Daten übertragen müssen. Die Nutzung wird mit jeder Netzwerkinfrastruktur koordiniert, auf die wir stoßen.


Sogar die URL und der Querystring werden verschlüsselt
Neil McGuigan,

Verwenden Sie zum einfachen Testen und ordnungsgemäßen Verwenden von Sniffing-Tools tshark / WireShark, um anhand von http.request.uri zu filtern, und Sie sehen, dass bei der Arbeit mit https nichts angezeigt werden kann. Auf der anderen Seite senden Sie die gleiche Anfrage über http und Sie sehen alles.
Maziyar

Antworten:


20

Ja, POST-Daten sollten verschlüsselt sein. Alles in der HTTP-Anforderung sollte in einer SSL-Konversation verschlüsselt werden. Firebug erhält seine Informationen, nachdem SSL-Daten vom Browser entschlüsselt wurden. Wenn Sie sicherstellen möchten, sollten Sie Fiddler oder WebScarab als Proxy verwenden, obwohl Sie möglicherweise Spiele spielen müssen, damit sie gut mit SSL funktionieren. Auf dieser Seite erfahren Sie, wie Sie HTTPS-Datenverkehr mit Fiddler entschlüsseln können .


3
Wenn Sie an der Verschlüsselung zweifeln, werfen Sie Wireshark auf den Client und spüren Sie den Datenverkehr auf.
Evan Anderson

Ich überprüfte Fiddler und verglich die POSTS und GETS zwischen HTTPS- und HTTP-Daten und bestätigte, dass die POSTS und GETS sicher sind. Vielen Dank!
Honus Wagner

@Evan Wonach sollte ich bei Wireshark suchen?
Honus Wagner

3
@ Honus: Du suchst Müll :). Wenn die Daten nicht verschlüsselt sind, können Sie sie in Wireshark anzeigen. Wenn es verschlüsselt ist, werden die verschlüsselten (nicht lesbaren) Daten angezeigt.
Sunny

1
@ Honus: Wireshark ist ein Paketanalysator, der Ihnen alle Pakete anzeigen kann / wird, die über das Kabel kommen. Sie können den gesamten Netzwerkverkehr unabhängig von Protokollen auf App-Ebene anzeigen. Es gibt Filter (einschließlich eines für HTTP), mit denen Sie die Suche eingrenzen und leichter erkennen können, wonach Sie suchen.
Squillman
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.