HTTPS Thiết lập một cơ SSL conenction trước khi bất kỳ dữ liệu HTTP là chuyển. Điều này đảm bảo rằng tất cả URL dữ liệu (ngoại trừ tên máy chủ, được sử dụng để thiết lập kết nối ) chỉ được thực hiện trong phạm vi kết nối được mã hóa này và được bảo vệ khỏi các cuộc tấn công theo cách tương tự bất kỳ dữ liệu HTTPS nào.
Mọi giao dịch HTTP cấp trong phạm vi kết nối HTTPS được tiến hành trong vòng phiên SSL được thiết lập, và không có dữ liệu truy vấn được chuyển giao trước khi kết nối an toàn được thành lập.
Từ bên ngoài, dữ liệu duy nhất là hiển thị với thế giới tên máy chủ và cổng bạn đang kết nối. Mọi thứ khác chỉ đơn giản là luồng dữ liệu nhị phân được mã hóa bằng cách sử dụng khóa riêng chỉ được chia sẻ giữa bạn và máy chủ.
Trong ví dụ bạn cung cấp trình duyệt của bạn sẽ làm điều này:
- Rút ra hostname (và cổng nếu có) từ từ URL.
- Kết nối với máy chủ lưu trữ.
- Giấy chứng nhận kiểm tra (nó phải được 'ký' ' bởi cơ quan đã biết, áp dụng cụ thể để sửa địa chỉ IP và cổng và là hiện tại).
- Trình duyệt và máy chủ trao đổi dữ liệu mật mã và trình duyệt nhận khóa riêng tư.
- Yêu cầu HTTP được thực hiện, được mã hóa bằng mật mã được thiết lập.
- Đã nhận được phản hồi HTTP. Cũng được mã hóa.
HTTP là giao thức 'Lớp ứng dụng' , giao thức này được mang lên trên lớp bảo mật . Theo thông số kỹ thuật SSL , soạn thảo bởi Netscape, mệnh lệnh mà không có lớp ứng dụng dữ liệu có thể được truyền cho đến khi một kết nối an toàn được thành lập - như nêu trong đoạn sau đây:
"Tại thời điểm này, một sự thay đổi mật mã đặc tả nhắn được gửi bởi các khách hàng, và bản client đang chờ Cipher Spec vào Cipher Spec hiện hành. các khách hàng sau đó ngay lập tức gửi nhắn xong dưới mới thuật toán, chìa khóa, và bí mật. Trong đáp lại, máy chủ sẽ gửicủa chính nóthay đổi thông số kỹ thuật mã hóa, chuyển đang chờ xử lý tới Mã hóa hiện tại Spec và gửi thông báo hoàn thành theo Thông số kỹ thuật mã hóa mới. Tại thời điểm này, những cái bắt tay hoàn tất và client và server có thể bắt đầu dữ liệu lớp ứng dụng giá hối đoái." http://wp.netscape.com/eng/ssl3/draft302.txt
Vì vậy, có. Các dữ liệu chứa trong các truy vấn URL trên một kết nối HTTPS là mã hóa. Tuy nhiên nó là rất nghèo thực hành bao gồm như nhạy cảm dữ liệu như một mật khẩu trong một 'GET' yêu cầu. trong khi nó có thể không được chặn, các dữ liệu sẽ được ghi lại trong máy chủ văn bản thô trên nhận máy chủ HTTPS và hoàn toàn cũng có thể trong lịch sử trình duyệt. Nó có lẽ là cũng có sẵn cho trình duyệt plugins và thậm chí có thể cả các ứng dụng khác trên máy khách. Tại hầu hết URL HTTPS có thể là được cho phép hợp lý để bao gồm ID phiên hoặc biến số không thể sử dụng lại tương tự . KHÔNG BAO GIỜ chứa mã thông báo xác thực tĩnh.
Khái niệm kết nối HTTP là nhất giải thích rõ ràng ở đây: (?/Test abc = 123) http://www.ourshop.com/resources/ssl_step1.html
+1 cho thông số nhạy cảm không được gửi trong yêu cầu GET – jah
-1 vì không đề cập đến nguồn của bạn: http://answers.google.com/answers/threadview/id/758002.html – Bruno
+1 cho mọi thứ được mã hóa ngoại trừ tên máy chủ – Yadu