1

Я изучаю, как контролировать историю просмотров HTTPS. Я не сетевой человек, поэтому прошу прощения, если я звучу невежественным в этом вопросе. Я погуглил следующие вопросы ниже, но ничего существенного не пришло:

  • Отслеживание сеанса HTTPS
  • Как данные собираются с веб-сайтов HTTPS?
  • Как контролируются веб-сайты https?

Итак, что я исследовал на HTTPS, так это на то, что он конфиденциальный. Соединение посетителя зашифровано, скрывая URL-адреса, файлы cookie и другие конфиденциальные метаданные.

Мой вопрос: можно ли отслеживать и собирать эти данные и информацию, и если да, то как это возможно?

Кроме того, с помощью веб-сайтов HTTPS вы можете видеть, сколько времени люди посещают эти веб-сайты?

Если бы вы, ребята, могли указать мне правильное направление, это действительно помогло бы!

1 ответ1

2

HTTPS (HTTP поверх TLS) обеспечивает безопасность при перемещении данных между пользовательским агентом (вашим браузером) и веб-сервером. Вот и все. Он не защищает данные на клиенте или сервере.

HTTPS также работает, только если все сделано правильно.

Кроме того, с помощью веб-сайтов HTTPS вы можете видеть, сколько времени люди посещают эти веб-сайты?

Если вы можете прослушивать сетевой трафик, вы увидите доменные имена / IP-адреса, которые они посещают, даже если используете HTTPS. Вы можете увидеть время и размер каждого запроса и ответа. Вы не можете видеть пути URL или строки запроса, заголовки или тела. Но вы можете сделать выводы о них в зависимости от размера.

Мой вопрос: можно ли отслеживать и собирать эти данные и информацию, и если да, то как это возможно?

В некоторых случаях да, вы можете быть отслежены. Некоторые методы включают в себя:

  1. Получить доступ к клиентскому компьютеру (физический / вредоносный / государственный)
  2. Получить доступ к серверу компьютера (физический / вредоносный / государственный)
  3. SSLstrip
  4. Используйте уязвимость в TLS (BREACH, CRIME, Logjam, goto fail, Heartbleed, Freak, Poodle и т.д.)

Что с этим делать:

  1. Используйте выделенный компьютер для важных действий (например, банковское дело, здравоохранение), чтобы избежать заражения вредоносным ПО от менее важных действий, и заприте его в сейфе.
  2. Используйте https://www.ssllabs.com/ssltest/, чтобы узнать, достаточно ли безопасны используемые вами серверы.
  3. Проверьте свой браузер тоже: https://www.ssllabs.com/ssltest/viewMyClient.html
  4. Используйте браузер со встроенной песочницей (Chrome)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .