Computerbeveiliging - Hoe je bad guys buiten de deur houdt

$_GET over https

19-02-2012, 23:55 door Anoniem, 7 reacties
Ha mede internet bewoners,

als ik naar een website navigeer en ik geef als parameter mee gps=12345 (https://website.com/index.php?gps=12345)
is de variabel ' gps' in de url dan kwetsbaar voor eavesdropping ondanks dat ik HTTPS gebruik?
Reacties (7)
20-02-2012, 09:27 door Anoniem
Hoi,

Nee dit is niet het geval. Je GET parameters worden gewoon geencrypt via SSL net zoals de rest van het pakketje, dit geldt ook voor POST methode.
20-02-2012, 09:56 door Anoniem
Ja, want volgens mij gaat die URL ongecrypt over de lijn naar de DNS server (als request). Een POST zit in de HTTPS container en wordt dus wel meegecrypt.
20-02-2012, 10:00 door Anoniem
nee, de gehele url wordt ook over de beveiligde SSL verbinding gestuurt
20-02-2012, 10:31 door Nimrod
Ja, want volgens mij gaat die URL ongecrypt over de lijn naar de DNS server (als request). Een POST zit in de HTTPS container en wordt dus wel meegecrypt.

Een URL is iets anders dan een domeinnaam. Het domeinnaam wordt met DNS omgezet naar een IP adres. De rest van het http(s) request(GET request) komt in een HTTP header. Als je een beetje verstand heb van netwerken dan weet je dat de http berichten plaatsvinden op laag 7 van het OSI model(application layer).

Het SSL/TLS protocol bevindt zich op laag 5 van het OSI model. Dit betekent dat alles vanaf laag 5 t/m laag 7 encrypted over de lijn gaan. Het enige wat normaal gesproken(zonder IPsec etc) leesbaar is voor mensen die je internet lijn bekijken zijn de lagen 4 t/m 1. Dit is informatie over TCP/UDP en IP enzo.
20-02-2012, 10:37 door Anoniem
@10:31, inderdaad my bad. Alleen de hostname gaat uncrypted over de lijn, niet de querystring: http://mattfleming.com/node/289
20-02-2012, 19:21 door Bitwiper
Door Anoniem: als ik naar een website navigeer en ik geef als parameter mee gps=12345 (https://website.com/index.php?gps=12345)
is de variabel ' gps' in de url dan kwetsbaar voor eavesdropping ondanks dat ik HTTPS gebruik?
Dat hangt van de site af die je bezoekt en je webbrowser instellingen.

Als ik met een (Engelstalige) MSIE 8.0 naar https://secure.security.nl/artikel/40413/1/%24_GET_over_https.html surf, en de vraag "Do you want to view only the webpage content that was delivered securily?" met No beantwoordt, dan wordt die volledige URL wel plain tekst en sniffable overgedragen, namelijk:
- in een http request URI aan googleads.g.doubleclick.net:
http://googleads.g.doubleclick.net/pagead/ads?<bagger>&url=https%3A%2F%2Fsecure.security.nl%2Fartikel%2F40413%2F1%2F%2524_GET_over_https.html&<bagger>
- als referrer in een get van http://pagead2.googlesyndication.com/pagead/js/graphics.js;
- als referrer in een get van http://pagead2.googlesyndication.com/pagead/abglogo/abg-nl-100c-ffffff.png;
- als referrer in een get van http://pagead2.googlesyndication.com//pagead/sma8.js;
- als referrer in een get van http://googleads.g.doubleclick.net/pagead/drt/s?safe=on.

Dat MSIE mij daarom vraagt is een (non-default) instelling die ik zelf gemaakt heb. Dat gegevens zijn gelekt zie je (achteraf) aan het feit dat er in MSIE geen slotje getoond wordt, en in Firefox dat het slotje doorgehaald is.

Daarnaast kunnen er, welliswaar versleutelde, verbindingen zijn met sites van derden, die natuurlijk ook jouw URL als referrer (of direct) voorbij zien komen en in hun logs kunnen zetten. Anoniem zijn op Internet is echt niet eenvoudig.
20-02-2012, 21:33 door Anoniem
Bedankt voor de uitgebreide antwoorden!!

Weer een tevreden klant :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search