Могат ли трети страни да прочетат пълния URL адрес при сърфиране чрез HTTPS?

Когато посещавате сигурно уеб сайт чрез https: // данните, изпратени между сървъра и браузъра ви, са кодирани, но какво става с URL адресите, които посещавате в сайта? Може ли вашият ISP или друг наблюдател на трета страна да види какво търсите?

Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.

Въпроса

Анонимен читател на SuperUser иска да знае дали сесиите им за сърфиране са напълно защитени:

Всички знаем, че HTTPS криптира връзката между компютъра и сървъра, така че да не може да се разглежда от трета страна. Може ли ISP или трета страна да види точната връзка на страницата, до която потребителят е осъществил достъп?

Например посещавам:

https://www.website.com/data/abc.html

Ще съобщи ли Интернет доставчикът, че съм получил достъп до * / data / abc.html или просто знам, че посетих IP адреса на www.website.com?

Ако знаят, тогава защо Уикипедия и Google имат HTTPS, когато някой може просто да чете интернет журналите и да установи точното съдържание, което потребителят е видял?

Интересен въпрос, който със сигурност има последици за личната неприкосновеност на личния живот. Нека да разследваме.

Отговорът

Сътрудникът на SuperUser Grawity предлага много кратък преглед на начина, по който се обработва пълният URL адрес:

От ляво на дясно:

Най- схема HTTPS: очевидно се интерпретира от браузъра.

Най- име на домейн www.website.com се решава на IP адрес, използващ DNS. Вашият ISP ще види заявката за DNS за този домейн и отговора.

Най- път /data/abc.html се изпраща в заявката за HTTP. Ако използвате HTTPS, той ще бъдат кодирани заедно с останалата част от HTTP заявката и отговора.

Най- заявка низ ? Това, че =, ако е налице в URL адреса, се изпраща в HTTP заявката - заедно с пътя. Така че е и криптиран.

Най- фрагмент #там, ако е налице, не се изпраща никъде - това се интерпретира от браузъра (понякога чрез JavaScript на върнатата страница).

Накратко, всичко отдясно на името на домейна е криптирано от сесията HTTPS и остава невидимо за вашия интернет доставчик или някой друг, който се интересува от вашите дейности.

Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.