请教下论坛里的网络安全专家

simonw · 发表于 2024-1-19 18:25:00

HTTPS协议，在现实实践中，非拿到证书或者成功伪造证书的有针对性的攻击的情况下，能不能做到，普遍性的获取到HTTP请求中URI的部分？甚至更多其他的部分？

wmfy808 · 发表于 2024-1-19 18:26:19

何止URI,内容都可以

HOH · 发表于 2024-1-19 18:28:19

证书是拿来验证和交换密钥用的，并不是整套协议内的安全物品

bigjj · 发表于 2024-1-19 19:16:29

Https只能保证传输过程中加密，跟uri好像没啥关系吧

karson · 发表于 2024-1-19 19:30:50

不太明白，但据我所知HTTPS是会加密整个报文，包括URL
而在不知道密钥破解加密的可能性，几乎为0

lwsg1987 · 发表于 2024-1-19 19:34:03

https不加密url

singularity · 发表于 2024-1-19 19:50:18

你是想问官方是否能知道你访问了哪些网站么？答案：可以。

在7楼 · 发表于 2024-1-19 20:07:57

本帖最后由在7楼于 2024-1-19 20:09 编辑

不考虑已经通过mitm攻破的情况下，https只能通过sni拿到域名，也就是dns前的主机名，其他部分都拿不到

czkwg8 · 发表于 2024-1-19 20:18:29

没中间人的话只能拿到hostname

大爷有社保 · 发表于 2024-1-19 20:30:51

https加密url，但是不加密域名。没证书的时候知道你访问哪个域名，但是不能知道你具体访问的url

		自动登录	找回密码
密码			注册