Les données POST sont-elles cryptées via une connexion SSL?

13

J'ai configuré mon serveur Web pour utiliser SSL (j'utilise WAMP pour mon scénario de transfert avant de le déplacer sur des serveurs publics). Le but du site à portée de main a réussi et je peux utiliser le site à partir d'ordinateurs distants en utilisant le protocole HTTPS.

Une préoccupation qui est venue avec un de mes utilisateurs (testeurs) concernait les données POST. Dans son scénario de test, il est sur place chez l'un de nos clients potentiels, accédant au site derrière leur pare-feu d'entreprise TRÈS pointilleux (nous avons déjà déterminé comment ce site s'applique à leur AUP, et nous sommes propres). Il gère le site dans FireFox en utilisant Firebug pour surveiller les données POST et GET. La question est ici:

Dans sa fenêtre Firebug, le POST et la réponse de XMLHTTPRequest reviennent en texte brut. Est-ce parce que c'est lui qui a initié la connexion sécurisée? Les données POST / Response apparaîtront-elles aux administrateurs réseau ou aux journaux?

Veuillez noter que l'intention ici n'est pas de tromper les administrateurs ou de contourner les politiques; il s'agit d'une application destinée aux personnes sur site à divers endroits qui ont besoin de transmettre des données sensibles. L'utilisation sera coordonnée avec chaque infrastructure réseau que nous rencontrons.

ssl  https  encryption 
Honus Wagner
source
même l'url et la chaîne de requête sont cryptées
Neil McGuigan
Pour tester simplement et utiliser correctement les outils de reniflage, utilisez tshark / WireShark pour filtrer en fonction de http.request.uri et vous verrez que lorsque vous travaillez avec https, il n'y a rien à afficher. D'un autre côté, envoyez la même demande via http et vous voyez tout.
Maziyar

Réponses:

20

Oui, les données POST doivent être cryptées. Tout dans la demande HTTP doit être chiffré dans une conversation SSL. Firebug obtient ses informations après que les données SSL ont été déchiffrées par le navigateur. Si vous voulez vous en assurer, utilisez quelque chose comme Fiddler ou WebScarab en tant que proxy, même si vous devrez peut-être jouer à des jeux pour les faire jouer correctement avec SSL. Voici une page sur la façon de déchiffrer le trafic HTTPS à l' aide de Fiddler.

squillman
source
3
Si vous doutez du chiffrement, lancez Wireshark sur le client et reniflez le trafic.
Evan Anderson
J'ai vérifié Fiddler et comparé les POSTS et GETS entre les données HTTPS et HTTP et j'ai confirmé que les POSTS et GETS sont sécurisés. Merci!
Honus Wagner
@Evan Que dois-je rechercher sur Wireshark?
Honus Wagner
3
@Honus: Vous cherchez des ordures :). Si les données ne sont pas chiffrées, vous pourrez les voir dans Wireshark. S'il est crypté - vous verrez les données cryptées (non lisibles).
Sunny
1
@Honus: Wireshark est un analyseur de paquets, il peut / vous montrera donc tous les paquets qui traversent le câble. Vous avez la possibilité de voir tout le trafic réseau indépendamment des protocoles au niveau de l'application. Il existe des filtres (dont un pour HTTP) qui vous permettent d'affiner les choses pour voir plus facilement ce que vous recherchez.
squillman
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.