http - ডেটা এনক্রিপশন কাকে বলে



HTTPS ইউআরএল এনক্রিপ্ট করা হয়? (8)

Althought ইতিমধ্যে এখানে কিছু ভাল উত্তর আছে, তাদের অধিকাংশ ব্রাউজার ন্যাভিগেশন ফোকাস করা হয়। আমি ২018 সালে এটি লিখছি এবং সম্ভবত কেউ মোবাইল অ্যাপ্লিকেশনের নিরাপত্তা সম্পর্কে জানতে চায়।

মোবাইল অ্যাপ্লিকেশনের জন্য , যদি আপনি অ্যাপ্লিকেশন (সার্ভার এবং অ্যাপ্লিকেশন) উভয় প্রান্তে নিয়ন্ত্রণ করেন, যতক্ষণ আপনি HTTPS ব্যবহার করেন ততক্ষণ আপনি নিরাপদ । আইওএস বা অ্যান্ড্রয়েডটি শংসাপত্রটি যাচাই করবে এবং সম্ভাব্য MiM আক্রমণগুলি হ্রাস করবে (এটি এগুলির মধ্যে একমাত্র দুর্বল বিন্দু হবে)। আপনি HTTPS সংযোগের মাধ্যমে সংবেদনশীল ডেটা প্রেরণ করতে পারেন যা এটি পরিবহন সময় এনক্রিপ্ট করা হবে। শুধু আপনার অ্যাপ্লিকেশন এবং সার্ভার https মাধ্যমে প্রেরিত কোন পরামিতি জানতে হবে।

ক্লায়েন্ট বা সার্ভার দূষিত সফটওয়্যার দ্বারা সংক্রামিত হয় এমন কেবল "হয়তো" এখানে থাকবে যদি এটি https এ আবৃত হওয়ার আগে ডেটা দেখতে পারে। কিন্তু যদি কেউ এই ধরণের সফ্টওয়্যার দ্বারা সংক্রামিত হয়, তবে এটির ব্যবহারে আপনি যা ব্যবহার করেন তা কোনও তথ্য ছাড়াই তাদের কাছে অ্যাক্সেস থাকবে।

TLS / SSL (HTTPS) এনক্রিপশন ব্যবহার করার সময় সমস্ত ইউআরএল এনক্রিপ্ট করা হয়? আমি জানতে চাই কারণ TLS / SSL (HTTPS) ব্যবহার করার সময় আমি সমস্ত URL তথ্য গোপন রাখতে চাই।

যদি টিএলএস / এসএসএস আপনাকে মোট ইউআরএল এনক্রিপশন দেয় তবে আমি ইউআরএল থেকে গোপনীয় তথ্য লুকানোর বিষয়ে চিন্তা করতে হবে না।


Answer #1

অতিরিক্তভাবে, যদি আপনি একটি পুনঃস্থাপনকারী API তৈরি করেন তবে ব্রাউজার ফুটো এবং HTTP রেফারার সমস্যাগুলি বেশিরভাগ ক্ষেত্রেই হ্রাস পায় কারণ ক্লায়েন্ট ব্রাউজার নাও হতে পারে এবং লোকেদের লিঙ্কগুলিতে ক্লিক করা আপনার পক্ষে নাও হতে পারে।

এই ক্ষেত্রে যদি আমি একটি বহনকারী টোকেন প্রাপ্ত করার জন্য oAuth2 লগইন সুপারিশ চাই। কোন ক্ষেত্রেই শুধুমাত্র সংবেদনশীল ডেটা প্রাথমিক শংসাপত্র হতে পারে ... যা সম্ভবত কোনও পোস্ট অনুরোধে থাকা উচিত


Answer #2

আমি আগের উত্তরগুলির সাথে একমত

স্পষ্ট হতে

টিএলএসের সাথে, URL এর প্রথম অংশটি ( https://www.example.com/ ) এখনও দৃশ্যমান হিসাবে এটি সংযোগ তৈরি করে। দ্বিতীয় অংশটি (এখানে / এখানেমেটমেটারমাইটার / 1/2/3/4) টিএলএস দ্বারা সুরক্ষিত।

তবে GET অনুরোধে আপনাকে পরামিতিগুলি কেন করা উচিত নয় তার কয়েকটি কারণ রয়েছে।

প্রথম, ইতিমধ্যে অন্যদের দ্বারা উল্লিখিত: - ব্রাউজার ঠিকানা বার মাধ্যমে ফুটো - ইতিহাসের মাধ্যমে ফুটো

এর পাশাপাশি আপনার http রেফারারের মাধ্যমে URL টির লিকেজ রয়েছে: ব্যবহারকারী টিএলএস-তে সাইট এ দেখেন, তারপর সাইট বি-তে একটি লিঙ্ক ক্লিক করে। যদি উভয় সাইট টিএলএস-এ থাকে তবে সাইট B এ অনুরোধটি সাইট এ থেকে সম্পূর্ণ URL ধারণ করবে। অনুরোধ রেফারার পরামিতি। এবং সাইট বি থেকে অ্যাডমিন সার্ভারের লগ ফাইল থেকে এটি পুনরুদ্ধার করতে পারেন। বি)


Answer #3

একটি নকল প্রশ্ন আমার উত্তর লিঙ্ক। ব্রাউজারের ইতিহাসে কেবলমাত্র ইউআরএল পাওয়া যায় না, সার্ভারের পাশের লগগুলিও এটি HTTP রেফারার হেডার হিসাবে প্রেরিত হয় যা আপনি তৃতীয় পক্ষের সামগ্রী ব্যবহার করলে, আপনার নিয়ন্ত্রণের বাইরে উত্সগুলির URL টি প্রকাশ করে।


Answer #4

মার্ক নোভাকোস্কি থেকে সহায়ক উত্তরের একটি যোগসূত্র - URL টি সার্ভারের লগগুলিতে সংরক্ষণ করা হয় (যেমন, / etc / httpd / logs / ssl_access_log), তাই আপনি যদি সার্ভারটিকে আর বেশি তথ্য ধরে রাখতে না চান শব্দটি, ইউআরএল এ এটি রাখুন না।


Answer #5

যেহেতু কেউ একটি তারের ক্যাপচার প্রদান, এখানে এক।
সার্ভারের নাম (URL এর ডোমেন অংশ) ClientHello প্যাকেটে, প্লেইন ClientHello উপস্থাপিত হয়।

নিম্নলিখিত একটি ব্রাউজার অনুরোধ দেখায়:
https://i.stack.imgur.com/path/?some=parameters&go=here

টিএলএস সংস্করণ ক্ষেত্রগুলিতে এই উত্তরটি আরও দেখুন (তাদের মধ্যে 3 টি আছে - সংস্করণগুলি নয়, ক্ষেত্রগুলিতে প্রতিটি সংস্করণ নম্বর রয়েছে!)

https://www.ietf.org/rfc/rfc3546.txt থেকে:

3.1। সার্ভার নাম ইঙ্গিত

[TLS] কোনও সার্ভারকে সার্ভারের নামটি যোগাযোগ করার জন্য একটি ক্লায়েন্টের জন্য একটি প্রক্রিয়া সরবরাহ করে না। একাধিক 'ভার্চুয়াল' সার্ভারগুলিকে একক অন্তর্নিহিত নেটওয়ার্ক ঠিকানায় হোস্ট করে এমন সার্ভারগুলিতে নিরাপদ সংযোগগুলি সহজতর করার জন্য ক্লায়েন্টদের এই তথ্য প্রদানের জন্য এটি পছন্দসই হতে পারে।

সার্ভারের নাম সরবরাহ করার জন্য, ক্লায়েন্টরা (বর্ধিত) ক্লায়েন্ট হ্যালোতে "server_name" টাইপের একটি এক্সটেনশন অন্তর্ভুক্ত করতে পারে।


সংক্ষেপে:

  • এসএনআই এক্সটেনশন ব্যবহার করা হলে FQDN (URL এর ডোমেন অংশ) ClientHello প্যাকেটের ভিতরে স্পষ্টভাবে প্রেরণ করা যেতে পারে

  • অনুরোধের URL একটি HTTP জিনিস (ওএসআই লেয়ার 7) থেকে URL ClientHello বাকি URL ( /path/?some=parameters&go=here ) ClientHello ভিতরে কোনও ব্যবসা নেই, তাই এটি কোনও টিএলএস হ্যান্ডশেকের মধ্যে প্রদর্শিত হবে না (স্তর 4 অথবা 5)। এটি পরে GET /path/?some=parameters&go=here HTTP/1.1 HTTP অনুরোধ, নিরাপদ টিএলএস চ্যানেল প্রতিষ্ঠার পরে।


নির্বাহী সারসংক্ষেপ

ডোমেইন নামটি স্পষ্টভাবে প্রেরণ করা যেতে পারে (যদি SNI এক্সটেনশান টিএলএস হ্যান্ডশেকে ব্যবহৃত হয় তবে) URL (পাথ এবং পরামিতি) সর্বদা এনক্রিপ্ট করা হয়।


Answer #6

হ্যা এবং না.

এটি সংযোগ সেট আপ করার জন্য সার্ভার ঠিকানা অংশ এনক্রিপ্ট করা হয় না।

এটি ভবিষ্যতে এনক্রিপ্ট করা SNI এবং DNS এর সাথে পরিবর্তিত হতে পারে তবে ২018 সালের মধ্যে উভয় প্রযুক্তিগুলি সাধারণভাবে ব্যবহার করা হয় না।

পাথ, ক্যোয়ারী স্ট্রিং ইত্যাদি এনক্রিপ্ট করা হয়।

জিইটি অনুরোধের জন্য নোট ব্যবহারকারী এখনও অবস্থান বার থেকে ইউআরএল কাটতে এবং পেস্ট করতে পারবে, এবং সম্ভবত আপনি সেখানে গোপনীয় তথ্য রাখতে চান না যা স্ক্রীনের দিকে তাকিয়ে কেউ দেখা যেতে পারে।


Answer #7

হ্যাঁ, SSL সংযোগটি টিসিপি স্তর এবং HTTP লেয়ারের মধ্যে রয়েছে। ক্লায়েন্ট এবং সার্ভার প্রথমে একটি সুরক্ষিত এনক্রিপ্টেড টিসিপি সংযোগ স্থাপন করে (এসএসএল / টিএলএস প্রোটোকলের মাধ্যমে) এবং তারপরে গ্রাহক এনক্রিপ্ট করা টিসিপি সংযোগে HTTP অনুরোধ (GET, POST, DELETE ...) পাঠাবে।





httprequest