我正在考虑https,我想知道。 多less保护? 整个请求是否被encryption? 我怀疑这不是因为服务器如何知道连接到哪个域? 只有身体encryption? 如果我请求http://joes-site.com/abc/file.ext人们可以看到我要求的文件?
我假设发布数据是用httpsencryption的,是否是cookies? 什么没有encryption?
整个会话都被encryption,包括完整的请求和cookie等标题。 在服务器名称指示( RFC4366 ,第3.1节)之前,这使得无法select使用HTTPS向哪个虚拟主机发送请求,因此使用HTTPS的服务器必须为每个域/虚拟主机专用一个IP。 观察者唯一可以看到的是封装协议信息(来自/来自IP,端口等)
通过SNI,在TLS协商期间发送虚拟主机。 虚拟主机(但不是整个请求,只是主机名)在这一点上将是可见的,但随后的请求将被完全encryption。
源IP和目标IP未encryption。 所以如果你担心窥探,有人会知道两个端点之间正在进行通信。 他们不会精确地知道所要求的内容,或者能够看到所传输的任何信息。
但是,所有这一切都假设客户端实际上正在与服务器通话,而不是中间的任何主机。 HTTPs严重依赖于一组可信的证书颁发机构。 如果CA受到攻击,或者客户端系统上安装了错误的CA证书,则攻击者可以伪造证书,并拦截通信。